华为 职业 认证 通过 者 权 蔡 


通过 任 一 项 华为 职业 认证 ， 您 即 可 在 华为 在 线 学 习 网 站 (h1Wp;/Aeorming.huawei.com/cn) 1 享有 如 下 特权 : 
。 1、 华 为 E-learning 课程 学 习 
0 ”内 容 : 所 有 华为 职业 认证 E-Learning 课 程 ， 扩 展 您 在 其 他 技术 领域 的 技术 知识 
0 方式 : 守 必 证 性 后 ， 请 提交 您 的 “华为 账号 ”和 注册 账号 的 “emaqikRk 人 | LeQ/ning@huawei.com 内 
态 双 谍 。 
。 2、 华 为 培训 教材 下 载 
0 内容 : 华为 职业 认证 培训 教材 + 华为 产品 技术 培训 教 林 ， 覆 盖 企 业 网 络 、 存 储 、 安 全 等 诸多 领域 
0 方式: 登录 华为 站 对 学 习 契 羡 ， 进 入 “从 为 姑 加 廊 谎 娘 W ， 在 具体 课程 页 面 即 可 下 载 教材 。 
。 3、 华为 在 线 公 开课 (LVC) 优 先 参 与 
0 ” 内容: 企业 网 络 、UC&C、 安 全 、 和 存储 等 诸多 领域 的 职业 认证 课程 ， 华 为 讲师 授课 ， 开 班 人 数 有 限 
o 方式: 开 班 计划 及 参与 方式 请 详 匈 AYC 玫 舱 
。 4、 学习 工具 eNSP 
o eNSP (Enterprise Network Simulation Platform), 是 由 华为 提供 的 免费 的 、 可 扩展 的 、 图 形 化 网 络 仿 
真 工具 。 主 要 对 企业 网 路 由 器 和 交换 机 进行 硬件 模拟 ， 完 美 呈 现 真实 设备 实景 ; 同时 也 支持 大 型 网 络 
模拟 ， 让 大 家 在 没有 真实 设备 的 情况 下 也 能 够 进行 实验 测试 。 
。 ”另外 , 华为 建立 了 知识 分 享 平 台 华为 认证 论坛 。 您 可 以 在 线 与 华为 技术 专家 交流 技术 ， 与 其 他 考生 分 享 考试 
经 验 ， 一 起 学 习 华 为 产品 技术 。_( http://support.huawei.com/ecommunity/bbs/list 2247.html ) 
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版 权 声 明 


版 权 所 有 @ 华为 技术 有 限 公 司 2012。 保留 一 切 权利 。 
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华为 认证 体系 介绍 


依托 华为 公司 雄厚 的 技术 实力 和 专业 的 培训 体系 ， 华 为 认证 考虑 到 不 同 客户 
对 WLAN 技 术 不 同 层次 的 需求 ， 致 力 于 为 客户 提供 实战 性 、 专 业 化 的 技术 认证 。 

根据 WLAN 技 术 的 特点 和 客户 不 同 层次 的 需求 ， 华 为 认证 为 客户 提供 面向 各 
个 方向 的 四 级 认证 体系 。 

HCNA-WLAN ( Huawei Certified Network Associate-Wireless Local 
Area Network ， 华 为 认证 网 络 通信 工程 师 WLAN 方 向 ) 主要 面向 华为 公司 办 
事 处 、 代 表 处 一 线 工 程 师 ， 以 及 其 他 希望 学 习 华 为 WLAN 产 品 技 术 人 士 。 
HCNA-WLAN 认 证 在 内 容 上 涵盖 华为 WLAN 基 础 知识 、CAPWAP 协 议 及 WLAN 
组 网 、 华 为 WLAN 产 品 特 性 及 安全 配置 、WLAN 高 级 技术 及 天 线 介 绍 以 及 WLAN 
网 规 网 优 和 故障 排除 等 内 容 。 : 


华为 认证 协助 您 打开 行业 之 窗 ， 开 启 改变 之 门 ， 屹立 在 WLAN 网 络 世界 的 潮 
头 浪 尖 ! 
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月 襄 
简介 


本 书 为 HCNA-WLAN 认 证 培训 教程， 适用 于 准备 参加 HCNA-WLAN 考 试 的 学 员 马 


者 希望 了 解 WLAN 基 础 知识 、CAPWAP 协 议 及 WLAN 组 网 、 华 为 WLAN 产 品 特 性 及 安全 
以 及 WLAN 网 规 网 优 和 故障 排除 等 相关 WLAN 技 术 的 


介绍 


配置 、WLAN 高 级 技术 及 天 线 


内 容 摘 述 
本 实验 指导 书 书 共 包含 7 个 实验 ， 从 设备 基本 操作 配置 开始 、 逐 一 介绍 了 WLAN 组 


网 中 的 二 层 组 网 、 安 全 、 三 层 组 网 、eSight 网 管 软件 的 配置 与 实现 


实验 一 为 HCNA-WLAN 实 验 环境 准备 ， 其 中 包括 检查 设备 是 否 齐 全 、 实 际 设备 组 网 
熟悉 HCNA-WLAN 设 备 及 物理 拓扑 


连 线 、AC 配 置 清空 ， 通 过 实验 一 的 操作 ， 帮助 读者 


搭建 。 
实验 二 为 AC 初 始 化 配置 实验 ， 通 过 基本 的 操作 与 配置 ， 帮 助 读者 熟悉 无 线 控制 器 


AC6605\, 理解 AcC6605 的 基本 功能 。 
实验 三 为 AP 认 证 及 WLAN 配 置 流程 ， 通 过 基本 的 组 网 配置 ， 帮助 读者 掌握 基本 的 


WLAN 组 网 能 力 。 
了 无 线 网 络 中 安全 的 配置 ,重点 讲解 的 是 802.1X 认 证 方式 的 安全 ,通过 


实验 四 介绍 
本 章 的 实验 ， 是 读者 掌握 WLAN 安 全 配置 的 方法 ， 熟 悉 WLAN 安 全 。 
行 三 层 组 网 的 配置 与 操作 ， 通 过 三 层 组 网 配置 ， 帮 助 读 


实验 五 介绍 采用 AC6605 进 行 三 层 


者 全 面 掌握 WLAN 组 网 方式 方法 。 
华为 保密 信息 ,未 经 授权 禁止 扩散 
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实验 六 为 eSight WLAN 网 管 实验 ， 通 过 eSight 实 验 ， 帮 助 读者 掌握 如 何 添 加 WLAN 
设备 到 eSight 中 ， 并 且 通 过 向 导 配 置 下 发 WLAN 业 务 。 
实验 七 为 备份 配置 文件 ， 清 空 AC 配 置 实验 ， 通 过 此 实验 ， 帮 助 读者 掌握 通过 FTP 


备份 设备 配置 文件 的 方法 。 
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本 课程 为 华为 认证 基础 课程 ， 要 求 读者 具有 基本 的 无 线 局 域 网 络 知识 背景 ， 同 时 熟 


悉 华为 交换 设备 ， 了 解 基本 数 通知 识 。 


重要 说 明 : 为 简化 问题 说 明 ， 本 课程 以 Telnet 为 例 来 描述 相关 技术 。 设 备 支 持 通 过 


Telnet 协 议和 Stelnet 协 议 登 录 。 使 用 Telnet、Stelnet v1 协议 存在 安全 风险 ， 建 议 您 使 用 
STelnet v2 登录 设备 。 
为 简化 问题 说 明 ,本 课程 以 FTP 为 例 来 描述 相关 技术 ,使 用 FTP 协 议 存 众 安 全 风险 


建议 您 使 用 SFTP V2 方 式 进 行文 件 操作 。 
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eSight 服务 器 。 Radius 服务 器 0 
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实验 环境 说明 
组 网 介绍 


本 实验 环境 面向 准备 HCNA-WLAN 考 试 的 无 线 网 络 工程 师 , 每 套 实验 环境 包括 无 线 


控制 器 2~9 台 ,无线 接 入 点 2~9 台 ， 核心 交换 机 1 台 ，RADIUS/eSight 服 务 器 1 台 。 每 套 实 
验 环 境 适 用 于 4~16 名 学 员 同 时 上 机 操作 。 
设备 介绍 

为 了 满足 HCNA-WLAN 实 验 需要 ， 建 议 每 套 实 验 环境 采用 以 平 配置 : 


设备 名 称 、 型 号 与 版 本 的 对 应 关系 如 下 : 

















设备 名 称 设备 型 号 软件 版 本 
、 S3700-28TP-PWR-EI Version 5.70 (S3700 V100R005C01SPC100) 
核心 交换 机 
无 线 控制 器 AC6605-26:PWR AC6605 V200R003C00SPC200 
无 线 接 入 点 AP6010DN-AGN V200R003C00SPC200 
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实验 一 : 准备 实验 环境 
1.1 实 验 目标 


。 ”检查 实验 设备 是 否 齐 全 
。 ”掌握 WLAN 实 验 网 络 基本 组 建 方法 


。 ”掌握 清空 AC 配 置 的 方法 
1.2 检 查 设备 是 否 齐全 


实验 开始 之 前 请 每 组 学 员 检 查 自己 的 实验 设备 是 否 齐全 ， 实验 清单 如 下 : 
































设备 名 称 数量 备注 
Radius 认 证 服务 器 1 从 所 有 实验 组 共用 
eSight 网 管 服务 器 1 台 所 有 实验 组 共用 
华为 3700PoE 交 换 机 所 有 组 共 1 台 所 有 实验 组 共用 ,可 支持 10 组 ， 
或 华为 5700PoE 交 换 机 已 做 好 预 配置 。 
AC6605 无 线 控制 器 每 组 1 台 要 有 PoE 电 源 模 块 
AP6010DN 每 组 1 颗 
笔记 本 或 台式 机 每 组 1 台 台式 机 要 有 无 线 网 卡 
双 绞 线 每 组 4 条 至 少 要 2 米 长 
console 线 每 组 1 条 笔记 本 的 要 用 USB 转 COM 线 
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HCNA-WLAN 





每 组 检查 自己 的 设备 列表 如 下 : 


AC6605 无 线 控制 器 1 人 台 
AP6010DN 无 线 接 入 点 1 颗 
笔记 本 或 台式 机 1 台 
双 绞 线 4 条 


console 线 1 条 
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1.3 实 验 拓扑 搭建 说 明 : 直 连 组 网 









sl 


= SS 


mm WLAN 网 管 


认证 服务 器 
从 10.254.1.200 


10.254.1.100 


直 连 组 网 拓扑 搭建 说 明 : 


本 实验 手册 采用 直 连 组 网 拓扑 形式 


直 连 组 网 适合 中 小 型 WLAN 网 络 的 部 署 ,初级 操作 与 培训 实验 全 部 使 用 直 连 组 网 方 


第 1 组 AC1 的 第 24 接 口 连接 交换 机 的 第 1 接口 ，AC 的 第 1 接口 连接 AP1 
第 2 组 AC2 的 第 24 接 口 连接 交换 机 的 第 2 接口 ，AC 的 第 1 接口 连接 AP2 


第 3 组 AC3 的 第 24 接 口 连接 交换 机 的 第 3 接口 ，AC 的 第 1 接口 连接 AP3 
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第 10 组 AC10 的 第 24 接 口 连接 交换 机 的 第 10 接 口 ，AC 的 第 1 接口 连接 AP10 
核心 交换 机 的 配置 已 经 配 好 ， 学员 无 需 配置 ( 配置 指南 见 手册 附件 ) 


认证 服务 器 及 WLAN 网 管 平台 已 经 配 好 ， 学 员 无 需 配 置 


1.4 实 验 拓扑 搭建 说 明 : 旁 挂 组 网 






= 


认证 服务 器 及 


10.254.1.100 





WLAN 网 管 K 
10.254.1.200 





GE0/0/1 Ve GEO70/20 (a) Ap10 
bo RGE0/0/10 


GEQO0/2, GRO/0/12 


AC2 AP2 


旁 挂 组 网 拓扑 搭建 说 明 : 
旁 挂 组 网 适合 大 型 WLAN 网 络 的 部 署 ,部 分 操作 与 培训 实验 会 使 用 旁 挂 组 网 方式 实 
现 ， 如 无 线 漫游 实验 和 双 链 路 备份 实验 。 


第 1 组 AC1 的 第 24 接 口 连接 交换 机 的 第 1 接口 ，AP1 接 交换 机 第 11 接 口 
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第 2 组 AC2 的 第 24 接 口 连接 交换 机 的 第 2 接口 ，AP2 接 交换 机 第 12 接 口 


第 3 组 AC3 的 第 24 接 口 连接 交换 机 的 第 3 接口 ，AP3 接 交换 机 第 13 接 口 


第 10 组 AC10 的 第 24 接 口 连接 交换 机 的 第 10 接 口 ，AP10 接 交换 机 第 20 接 口 
核心 交换 机 的 配置 已 经 配 好 ， 学员 无 需 配置 ( 配置 指南 见 手册 附件 ) 


认证 服务 器 及 WLAN 网 管 平台 已 经 配 好 ， 学 员 无 需 配置 


1.5 Console 线 连接 说 明 \ 





FE 
核心 交换 机 





双 绞 线 


如 图 连接 设备 ( 不 同 的 组 接 交 换 机 的 接口 不 同 ) ， 并 且 给 设备 加 电 。 
笔记 本 使 用 console 线 连接 控制 器 ， 要 使 用 USB 转 COM 线 并 且 安 装 正确 的 驱动 程序 ， 


如 果 台 式 机 则 可 以 直接 使 用 COM 接 口 连接 。 
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通过 Windows 系统 自 带 超级 终端 连接 AC6605 
用 Console 线 绕 将 PC 电脑 连接 至 AC6605 的 Console 接 口 。 在 计算 机 上 打开 终端 仿真 程 


序 ( 如 Windows 的 超级 终端 ) ， 如 下 图 建立 一 个 新 的 连接 。 这 里 的 名 称 和 图 标 无 特殊 


意义 ， 可 以 随 自己 喜好 定义 和 选择 。 

















过 
起航 终 沁 a 
文件 (编辑 (E) 章 春 (V) 呼叫 (C) ”传送 [D) 帮助 (H) 


DD 世人 命 惫 汉 思 铬 








连接 指 述 





新 建 连 接 


输入 名 称 并 为 该 连接 选择 图 标 : 
名 称 0: 
huawei 


图 标 (): 






































1.1 建 立新 的 连接 


选择 配置 的 万 式 ， 确 定 所 使 用 的 COM 口 。 
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luawel 


输入 待 抄 电 话 的 详细 信息 : 
国家 和 此 区 ) CC): 中 国 (88) 


区 号 FE): 0755 
电话 号 码 人 P): 
连接 时 使 用 0 : 








图 1.2 连接 接口 选择 
在 拥有 多 个 COM 口 的 计算 机 上 ， 请 注意 选择 正确 的 COM 接 口 ， 一 般 情 况 下 计算 机 
的 COM 口 为 COM1。 


COM3 屋 性 





位 种 @): 
站 位 吕 ) 
奇偶 核验 中) 
htto Eee 
数据 流 控 制 F): [无 >| 





还 原 为 默认 值 下) 











应 用 多 





图 1.3 接 口 通信 参数 设置 


在 COM 的 属性 界面 中 ， 上 点击“ 还原 为 默认 值 ”， 即 可 快速 得 到 正确 的 参数 信息 的 
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配置 。 然 后 点 击 “ 确 定 ”进行 连 接 。 
打开 电源 ， 开 启 AC6605。 如 果 以 上 参数 设置 正确 ， 终 端 窗口 会 有 启动 过 程 文字 出 
现 ， 直 到 启动 完毕 ， 提 示 用 户 按 Enter 键 。 用 户 视图 的 命令 行 提 示 符 ， 如 Password: 会 出 
现 ， 至 此 用 户 进入 了 配置 环境 ， 输 入 密码 即 可 登陆 并 进行 相关 配置 。 
如 果 无 法 找到 所 使 用 的 COM 口 ， 可 以 打开 设备 管理 器 ， 在 设备 管理 器 中 找到 相 》 
应 的 COM 口 。 


步骤 为 右 击 “ 我 的 电脑 ”一 “管理 ”一 “设备 管理 器 ”一 “端口 ” K 如 下 图 所 











全: 
文件 ( ”操作 (A) ”查看 (V) ”帮助 (H) ~ 
名 中 | 自转 日 国 虑 < \™ 
盟 计算 机 管理 (本 地 ) 4 过 ZHOUCQ-PC 
4 从 系统 工具 旺 DVD/CD 人 oOM 驱动 器 
@ 人 计划 程序 二 了 eE 后 A/ATAPI 控制 器 
国 事件 查看 器 是 Lehovo RMCT Device 
》 辆 共享 文件 夫 葬 \ 处 理 器 
括 本 地 用 户 和 组 让 磁盘 驱动 器 
因 性 能 区 电池 
坊 设备 管理 句 4 -部 周口 (COM 和 LPT) 
4 合 存储 全 USB Serial Port (COM3) 
者 磁盘 管理 襄 计算 机 
二 键盘 
蚁 人 体 学 输入 设备 
| 多 生物 识别 设备 
再” 疡 冶 、 视 频 和 游戏 控制 器 
及 筷 标 和 其 他 指针 设备 
晶 通用 辣 行 总 线 皖 剂 器 
殊 图 像 设备 
于: 网 络 适配器 
调 系统 设备 
到 显示 适配器 
1.6 清 空 AC 配置 


实验 时 ， 为 避免 残余 配置 对 实验 的 影响 ， 要 求学 生 在 实验 完成 后 ， 关 闭 设备 之 前 清 
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空 设备 保存 的 配置 信息 ; 同时 ， 实 验 开 始 时 ， 确 认 设备 从 空 配 置 启动 ， 否 则 执行 配置 清 


空 ， 并 重启 设备 。 


登陆 路 由 器 需要 输入 密码 ， 本 实验 配置 的 登陆 密码 是 huawei123 : 


Login authentication 

Password:huaweil23 

<AC6605>reset saved-configuration 

This will delete the configuration in the flash memory. 
The device configurations will be erased to reconfigure. 
Are you sure? (y/n) [n]:y 


Clear the configuration in the device successfully. 


重启 控制 器 的 命令 是 : 


<AC6605>reboot 


Info: The system is comparing the configuration, please wait. 


Warning: All the configuration will be savedsto the next startup configuration. 


Continue ? [y/n]:n 
System will reboot! Continue ? [y/n]\y 


Info: system is rebooting ,please wait... 
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实验 二 : AC 初 始 化 配置 实验 
2.1 实 验 目标 


@ ”掌握 初始 化 console 接 口 密码 

@ ”掌握 配置 VLAN 的 命令 

@ 掌握 配置 AC 的 Telnet 服 务 的 方法 
@ 掌握 保存 AC 配 置 的 方法 


2.2 实 验 规 划 


为 了 避免 错误 发 生 ， 配置 设备 要 按 规划 来 做 ， 每 个 学 员 知 道 自己 的 组 号 以 后 ， 按 照 


如 下 规划 配置 设备 名 称 、VLAN、Trunk， 本 实验 以 第 1 组 配置 为 例 。 
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学 员 属 于 第 X 组 AC 配 置 
Console 密 码 huawei123 
设备 名 称 ACX 
VLAN : X0 
AP 管 理 VLAN 
IP : 10.1.X0.100 
VLAN : X1 
业务 VLAN ( 员工 ) 
IP : 10.1.X1.100 
VLAN : 文 2 
业务 VLAN ( 语音 ) 
IPAesNt0.1.X2.100 
VLAN : X3 
业务 VLAN ( 访客 ) 
IP : 192.168.X.1 
MEthO/O/1 
AC 管 理 接口 
IP : 192.168.100.200 
GEO/0/1 
AC 接 AP 接口 
Ttrunk 放 行 相应 VLAN: X0 to X3 
GE0O/0/24 
AC 接 交换 机 接口 


Trunk 放 行 相 应 VLAN: X0 to X2 








网 络 拓扑 : 直 连 组 网 + 二 层 组 网 








本 实验 中 PC 的 地 址 是 192.168.100.10， 用 来 测试 连接 AC 
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2.3.1 ”初始 化 Console 接口 密码 


AC6605 软 件 升 级 到 V2R3 以 后 ,要 求 在 第 一 次 登陆 时 必须 为 console 接 口 设置 初始 化 密 
码 ， 密 码 要 输入 两 次 ， 并 且 一 样 。 我 们 这 里 设置 为 huawei123， 注 意 输入 密码 时 在 超级 终 
端 上 看 不 到 密码 。 


Please configure the login password (maximum length 16) 
Enter password:huaweil23 
Confirm password:huaweil23 


<AC6605> 


2.3.2 ”配置 AC 基础 信息 
[AC6605] sysname AC1 


创建 管理 vlan10、 业 务 vlan 11 123 


[ACl]vlan batch 10 to 13 


配置 g0/0/1 接 口 用 来 连接 AP1 


[AC1]interface g0y0/1 

[AC1-GigaBitEthernet0/0/1]port link-type trunk 
[AC1-GigabitEthernet0/0/1]port trunk pvid vlan 10 
[AC1-GigabitEthernet0/0/1]port trunk allow-pass vlan 10 to 13 
[AC1-GigabitEthernet0/0/1]quit 


配置 g0/0/24 接 口 用 来 连接 核心 交换 机 


[AC1l] interface g0/0/24 

[AC1-GigabitEthernet0/0/24]port link-type trunk 
[AC1-GigabitEthernet0/0/24]port trunk allow-pass vlan 10 to 12 
[AC1-GigabitEthernet0/0/24]quit 


配置 完成 后 使 用 dis port vlan 来 检查 配置 是 否 正 确 
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[ACl]dis port vlan 
Port Link Type PVID Trunk VLAN List 
GigabitEthernet0/0/1 trunk 10 1 10-13 
GigabitEthernet0/0/2 hybrid 1 一 
GigabitEthernet0/0/3 hypbrid 1 一 
GigabitEthernet0/0/4 hybrid 1 一 
GigabitEthernet0/0/5 hybridqd 1 一 
GigabitEthernet0/0/6 hybrid 1 一 
GigabitEthernet0/0/7 hypbrid 1 一 
GigabitEthernet0/0/8 hybrid 1 一 
GigabitEthernet0/0/9 hypbrid 1 一 
GigabitEthernet0/0/10 hybrid 1 一 
GigabitEthernet0/0/11 hybrid 1 = tk 
GigabitEthernet0/0/12 hybrid 1 一 
GigabitEthernet0/0/13 hybrid 1 一 
GigabitEthernet0/0/14 hybrid 1 一 
GigabitEthernet0/0/15 hybrid 1 一 
GigabitEthernet0/0/16 hybrid 1 一 
GigabitEthernet0/0/17 hybrid 1 一 
GigabitEthernet0/0/18 hybrid 1 > 
GigabitEthernet0/0/19 hybrid 电 一 
GigabitEthernet0/0/20 hybrid 1 一 
GigabitEthernet0/0/21 hybrid 1 一 
GigabitEthernet0/0/22 hybrid 1 一 
GigabitEthernet0/0/23 Nhybrid 1 一 
GigabitEthernet0/07/24 trunk 1 二. 二 0== 了 2 
XGigabitEtherne®0/0A1” hybrid 1 = 
XGigabitEthernét0/0/2 hybrid 1 一 








配置 VLAN 相 应 的 三 层 接口 IP 地 址 


AC1-Vlanif10] 
AC1l-Vlanif10] 


AC1l-Vlanif11] 
AC1l-Vlanif11 


ACl-Vlanif12] 











ACl-Vlanif12] 


ACll1interface vlan 10 


ip address 10.1.10.100 24 


quit 


ACll]interface vlan 11 


ip address 10.1.11.100 24 


]quit 


ACll]interface vlan 12 


ip address 10.1.12.100 24 


Gait 


开启 DHCP 服 务 ,并 配置 无 线 访客 VLAN 的 DHCP 地 址 池 ( 注意 如 果 在 配置 为 业务 VLAN 
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网 关 的 话 ， 无 线 服务 集 配 置 必须 采用 隧道 转发 方式 。 直 接 转发 时 ， 业 务 VLAN 的 网 关 可 以 配 


置 在 外 部 交换 机 上 ) 


[ACl]dhcp enable 

[ACl] interface Vlanif 13 

[AC1-Vlanif1l3]ip address 192.168.1.1 24 
[AC1l-Vlanifl3]dhcp select interface 
[AC1l-Vlanifl3]dhcp server dns-list 8.8.8.8 


检查 配置 的 接口 是 否 已 经 变 为 UP 状态 





[ACl]display ip interface brief 4 

\ 
Interface IP Address/Mask Physical Pretocol 
MEth0/0/1 169.254.1.1/24 down down 
NULLO unassigned WB up (s) 
Vlanif10 10.1.10.100/24 up up 
Vlanif11 L01100X24 up up 
Vlanif12 10.1.12.100/24 up up 
Vlanif13 192.168®1.124 up up 


检查 和 三 层 交 换 机 的 路 由 是 否 可 达 人 注意 此 时 ping 100.100.100.100 ( 交换 机 上 的 模 


拟 公 网 的 接口 ) 不 可 达 。 


[AC1l]ping -a 192.188.N1 10.1.10.1 
PING 10.1.10、1:s56 data bytes press CTRL C to break 
Reply €rom 10“1.10.1: bytes=56 Sequence=1 ttl1=255 七 Ime=11 ms 








Repgly from 10.1.10.1: bytes=56 Sequence=2 ttl1=255 七 Ime=11 ms 





Reply XErom 10.1.10.1: bytes=56 Sequence=3 ttl1=255 七 Ime=10 ms 





Reply from 10.1.10.1: bytes=56 Sequence=4 ttl1=255 七 Ime=11 ms 
Reply from 10.1.10.1: bytes=56 Sequence=5 ttl1=255 time=20 ms 





=== 10.-1s10L Bing Statisties === 
5 packet (s) transmitted 
5 packet (s) received 
0.00% packet loss 
round-trip min/avg/max = 10/12/20 ms 


[ACl]ping -a 192.168.1.1 100.100.100.100 
PING 100.100.100.100: 56 data bytes, press CTRL C to break 
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Request time out 
Request time out 
Request time out 
Request time out 
Request time out 
配置 静态 默认 路 由 指向 交换 机 

[AC1]ip route-static 0.0.0.0 0.0.0.0 10.1.10.1 
此 时 再 ping 100.100.100.100 已 经 可 达 

[ACl]ping -a 192.168.1.1 100.100.100.100 

PING 100.100.100.100: 56 data bytes press CTRL C to break K 

Reply from 100.100.100.100: bytes=56 Sequence=1 ttl1=255 téamé7 ms 
Reply from 100.100.100.100: bytes=56 Sequence=2 ttl1l=2%6 NBime=10 ms 
Reply from 100.100.100.100: bytes=56 Sequence=3 ttJ 和 255 time=10 ms 
Reply from 100.100.100.100: bytes=56 Sedquence=4UtLtELE=255 time=10 ms 
Reply from 100.100.100.100: bytes=56 Sequeng8ad ttl1=255 time=10 ms 


--- 100.100.100.100 ping statistics 一 一世 


5 packet (s) 


5 packet (s) 


0.00% packet loss 


transmitted 


received 


round-trip min/avg/max, = 7/%/10 ms 


2.3.3 ”配置 和 测试 \AC 管 理 接口 telnet/ssh 服务 ( AAA 认证 ) 


开启 并 配置 telnet/ssh 服 务 ,添加 AAA 的 账号 huawei 用 于 telnet/ssh 认 证 (或 者 也 可 以 


使 用 AC 自 带 账 号 admin， 密码 是 admin@huawei.com ) 


[ACl]telnet server enable 





Info: TELNET server has been enabled. 


[ACl] stelnet server enable 





Info: Succeeded in starting the STELNET server. 


[AC1] aaa 
[AC1-aaal 
[AC1-aaal 


local-user huawei password cipher huaweil23 





local-user huawei service-type telnet ssh 


[ACl-aaa]local-user huawei privilege level 15 


[ACl-aaal]quit 
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[ACl]user-interface vty 0 4 





[AC1l-ui-vty0-4]authentication-mode aaa 


配置 管理 接口 MEth 0/0/1 的 IP 地 址 用 来 管理 控制 器 


[ACl]interface MEth 0/0/1 
[AC1-MEth0/0/1]ip address 192.168.100.200 24 


连接 电脑 的 以 太 网 口 和 AC6605 的 ETH 接 口 ( console 接 口 的 左边 


地 址 为 192.168.100.10 255.255.255.0 并 测试 互通 性 及 telnet. 


C:\Users\zWX>ping 192.168.100.200 


正在 Ping 192.168.100.200 具有 32 字 节 的 数据 : 
来 自 192.168.100.200 的 回复 : 字 节 =32 时 间 =23ms TTL=255 
来 自 192 .168.100.200 的 回复 : 字 节 =32 时 间 =lms TTL=255 
来 自 192 .168.100.200 的 回复 : 字 节 =32 时 间 =7ms TTL=255 
来 自 192 .168.100.200 的 回复 : 字 节 =32 时 间 =4ms TTL=255 
192.168.100.200 的 Ping 统计 信息 : 

数据 包 : 已 发 送 = 4 ,已 接收 = 4， 丢失 = 0 (0 丢失) ， 
往返 行程 的 估计 时 间 (以 毫秒 为 单位 ) : 

最 短 = lms, 最 长 = 23ms ， 平均 = 8ms 
C:\Users\zWX>telnet 192.168.100%W200 








Login authentication 

Username:huawei 

Password:huaweil23 

Info: The max Jumbe of VTIY users is 10, and the number 
of currenty VTY users on line is 1. 


<ACl>sys 





Enter、system view, return user view with Ctrl+2Z. 


Ch]display access-user 


) ， 在 电脑 上 配置 IP 





UserID Username IP address 


MAC 





132 huawei 192.168.100.10 





Total 1,1 printed 
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2.3.4 ”保存 配置 


使 用 命令 save 保 存 AC 配 置 


<AC1l>save 


The current configuration will be written to the device. 


Are you sure to continue? (y/n) [n]:y 


It will take several minutes to save configuration file Please wait.......... 





Configuration file had been saved successfully 


Note: The configuration file will 七 ak ffect after being activated 
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2.4 关 键 配置 汇总 
# 
sysname AC1 
# 
snmp-agent local-engineid 800007DB0O3FC48EFC76DB7 
undo snmp-agent community complexity-check disable 
snmp-agent 
# 
http server enable 
http secure-server ssl-policy default_policy 
http secure-server enabl 
# tk 
vlan batch 10 to 13 
# 
dhcp enable 
# 
diffserv domain default 
# 
pki realm default 
nrollment self-signed 
# 
ssl policy default_policy types=Server 
pki-~realm default 
# 
aaa 
authentication=scheme default 
authorizationsscheme default 
accounting-scheme default 
domadn ‘default 
domain、default_admin 
locail-user admin password cipher admin@huawei.com 
local-user admin privilege level 15 
local-user admin service-type telnet http 
local-user huawei password cipher huaweil23 
local-user huawei privilege level 15 
local-user huawei service-type telnet ssh 
# 
interface Vlanif10 
1P address: 10.1.10.100 255.255.255.0 
# 
interface Vlanif1l1 
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ip address 10.1.11,.100 255.255.255.0 
# 

interface Vlanif12 

ip address 10.1.12.100 255.255.255.0 
# 

interface Vlanif13 

ip address 192.168.1.1 255.255.255.0 
dhcp select interface 

dhcp server dns-list 8.8.8.8 

# 

interface MEth0/0/1 





ip address 192.168.100.200 255.255.255.0 
# 
interface GigabitEthernet0/0/1 





port link-type trunk 
port trunk pvid vlan 10 
port trunk allow-pass vlan 10 to 13 


interface GigabitEthernet0/0/2 





interface GigabitEthernet0/0/3 


interface GigabitEthernet0/0/23 











interface GigabitEthernet0/0/24 
port link-type trunk 

port trunksallow-pass vlan 10 to 12 
# 

interface XGigabitEthernet0/0/1 

划 

intferface XGigabitEthernet0/0/2 


interface NULLO 





stelnet server enabl 


ip route-static 0.0.0.0 0.0.0.0 10.1.10.1 








user-interface con 0 
authentication-mode password 


set authentication password cipher huaweil23 
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user-interface vty 0 4 

authentication-mode aaa 

user privilege level 15 

protocol inbound all 

user-interface vty 16 20 

# 

wlan 

# 

return 
《 
《 
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实验 三 : AP 认证 及 WLAN 配 置 流程 
3.1 实 验 目标 


。 ”掌握 认证 AP 上 线 的 配置 方法 

。 ”理解 各 种 无 线 配 置 模板 

。 ”掌握 WLAN 配 置 的 基本 流程 

。 ”掌握 开放 认证 无 线 服 务 集 的 配置 思路 
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3.2 实 验 规划 


X 是 学 员 所 在 组 的 编号 ， 配 置 时 对 应 替换 ， 如 第 1 组 WMM 模 板 为 vmm-prof-guest1 





组 网 方式 


直 连 组 网 + 二 层 组 网 





AC 基 本 属性 


国家 代码 : CN 





运营 商 ID : other 





WLAN 源 : vlan X0 





AP 认 证 配置 


AP 认 证 方式 : mac-auth 





AP MAC 地 址 : 在 AP 背 后 ， 填 入 这 里 





WMM 模 板 配置 


WMM 模 板 : wmm-prof-X 





射频 模板 配置 


2.4G 模 板 : radio0:Prof-X 


5G 模 板 : radio1-prof-X 








服务 集 配置 


SSID : huawei-guestX 





服务 VLAN:vlan13 





转发 模式 : 直接 转发 





流量 模板 : traffic-prof-X 





安全 模板 : security-prof-X 





Wlan-ess 接 口 0 








用 户 隔离 : 关闭 
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3.3.1 ”配置 流程 说 明 








使 AP、AC 二 层 或 三 层 互通 











配置 AC 的 运营 商标 识 、AC ID 
配置 AC 的 管理 IP 
配置 AC 连 AP 侧 的 端口 VLAN 
配置 AC VLANIF 三 层 接 
配置 AC 的 DHCP 服 务 器 功能 
配置 AC 的 IP 地 址 (AP 获取 该 地 址 ) 
配置 AC 的 源 接口 (与 AP 建 隧道 ) 

























































































配置 AC 对 a 配置 AP 域 SA 
瘦 AP 的 管理 0 配置 AP 模板 
了 人 三 通 配置 AP 认证 方式 














| 

| 

4/5/6. 配 置 AC | 
下 发 到 AP 的 
| 

| 





ee 配置 | we | 
le Traffi | oe | | 
| 


被 引用 到 














WLAN 服 务 





























配置 
WMM 模 板 


被 绑 定 至 


配置 被 纪 
Radio 模 板 


5.2 配 置 Dot1X 认 证 
配置 User-Profile 
配置 VLAN 等 



























3.3.2 ”配置 交换 机 


承接 实验 二 的 配置 ， 交 换 机 的 配置 已 经 完成 


3.3.3 ”配置 AC 基本 功能 


配置 WLAN AC 全 局 参数 


[ACl]wlan ac-global country-code CN 


[ACl]wlan ac-global ac id 0 carrier id other 


默认 国 别 是 中 国 CN， 运营 商 代 码 有 四 个 ， 企 业 网 应 配置 成 other 
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cmcc ”中 国 移动 


ctc 中 国电 信 


cuc ”中国 联通 


other “ 普 


通 企业 网 ( 默认 ) 


3.3.4 配置 AP 认证 及 与 AC 互通 


配置 AP 的 DHCP 地 址 池 及 AP 认证 方式 ， 控 制 器 的 地 址 发 现 采 用 option 43 的 方式 ; 








AC1]iP Pool v] 
AC1-1IP-Pool-VI 
AC1-ip-Bo01=Yv1 
AC1l-ip-pool-vil 
ACl1-ip-pool-vil 


Lan10 





AC1l-ip-pool-vl 


ACl-Vlanif1l0]quit 


ACl]interface vlan 10 


ACl-Vlanifl0]dhcp select global 


anl0]gateway-list 10.1.10.1 
anl0]dns-list 10.254.1.100 


anl0]excluded-ip-address 10.1.10.100 


anl0O]jnetwork 10.1.10.0 mask 255.255.255.0 


an10]option 43 sub-option 3 ascdi WO0.1.10.100 


《 


& 


此 时 AP 会 得 到 地 址 10.1X0.254, 可 以 使 用 ping 命 令 测 试 控制 器 和 AP 的 互通 性 


[AC1]Ping 10.1.10 必 54 


PING 10.1.1QC 
Reply ffom 
Reply fxom 
Reply “from 
Reply from 
Reply from 


2354 : 
T0 . 
10Q:, 
10', 
LQ 
10。 


1 
1 
1 
1 
业 


56 


.10. 
al 0: 
“10., 
‘10 
.10. 


data bytes, 


254: 
254: 
254 
254: 
254: 


byt 
byt 
byt 
byt 
byt 


press CITRL_C to break 














S=56 Sequence=1 ttl1=64 time=2 ms 

S=56 Sequence=2 tt1=64 time=1ll1 ms 
S=56 Sequence=3 tt1=64 七 time=11 ms 
S=56 Sequence=4 tt1=64 七 time=11 ms 
s=56 Sequence=5 tt1=64 七 Ime=11 ms 





但 是 由 于 还 没有 配置 AP 认 证 列表 ， 所 以 display ap all 还 看 不 到 AP 上 线 
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[ACl-wlan-view]display ap all 


All AP information (Normal-0,UnNormal—-0): 





AP AP AP Profile Region AP 


ID Type MAC ID ID State 








Total number: 0 


配置 WLAN 源 接口 及 AP 认 证 


[ACl]wlan 
[ACl-wlan-view]lwlan ac source interface Vlanif 10 
[ACl-wlan-view]jap-auth-mode ? 
mac-auth MAC authenticated mode, default authenticated mode 
no-auth No authenticated mode 


sn-auth SN authenticated mode 


AP 认证 支持 三 种 ， 默 认 是 MAC 认 证 ， 需 要 手工 添加 AR 列表 到 控制 上 ， 如 认证 方式 被 修 


改过 ， 现 在 要 重新 改 回 MAC 认 证 的 命令 是 : 


[ACl-wlan-view]jap-auth-mode mac-auth 


手工 添加 认证 的 AP， 首 先 要 知道 AP 的 类 型 和 MAC ，, 目前 V2R3 版 的 控制 器 的 AP 类 型 有 


12 种 ， 代 码 如 下 : 


[ACl-wlan-vyiewhdis ap-type all 


All AP types, information: 








ID Type 

17 AP6010SN-GN 
19 AP 6010DN-AGN 
2 AP6310SN-GN 
23 AP 6510DN-AGN 
25 AP 6610DN-AGN 
27 AP7110SN-GN 
28 AP7110DN-AGN 
29 AP5010SN-GN 
30 AP5010DN-AGN 
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3 下 AP3010DN-AGN 
33 AP6510DN-AGN-US 
34 AP6610DN-AGN-US 





Total number: 12 
本 实验 中 我 们 用 的 AP 是 6010DN“， 类 型 代码 是 19， 第 1 组 的 AP 的 MAC 地 址 是 
cccc-8110-2260， 所 以 我 要 添加 AP 到 控制 器 的 命令 是 : 
[Ac1-wlan-view]ap id 0 type-id 19 mac cccc-8110-2260 


添加 后 AP 后 ，ApP 的 状态 会 经 历 从 fault 到 config 到 normal 的 变化 ， 最 终 会 normal 
KX 
状态 ， 如 果 等 几 分 钟 后 没有 变 成 该 状态 ， 你 应 该 检查 前 面 VYLAN 和 和 DHCP 及 AP 认 证 的 配置 是 


否 有 错 。 


[ACl-wlan-ap-0]dis ap all 


All AP information (Normal-l1l,UnNormal-0): 








AP AP AP Profile Region AP 
ID Type MAC ID ID State 
0 AP6010DN-AGN Gccc-8110-2260 0 0 normal 





3.3.5 配置 射频 模板 并 应 用 到 AP 的 天 线 接口 上 


配置 WMM 模 板 ， 采 用 默认 配置 


[ACl~wlan-view]wmm-profile name wmm-prof-1 


配置 2.4G 射 频 模 板 ， 绑 定 WMM 模 板 ， 并 修改 radio 类 型 为 80211bgn 


[ACl-wlan-view]radio-profile name radio2-prof-1 





[ACl-wlan-radio-prof-radio2-prof-l1]wmm-profile name wmm-prof-1 





[ACl-wlan-radio-prof-radio2-prof-1]radio-type 80211bgn 
Warning: Modify the Radio type may cause some parameters of Radio resume defaul 


t value, are you sure to continue?[Y/N]:Y 


配置 5G 射 频 模板 ， 绑 定 WMM 模 板 ， 并 修改 radio 类 型 为 80211an 
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[ACl-wlan-view]radio-profile name radio5-prof-1 





[ACl-wlan-radio-prof-radio5-prof-l1]wmm-profile name wmm-prof-1 





[ACl-wlan-radio-prof-radio5-prof-1l]radio-type 80211an 


Warning: Modify the Radio type may cause some parameters of Radio resume defaul 


t value, are you sure to continue?[Y/N]:Y 


配置 完 后 可 以 使 用 display radio-profile all 查 看 射频 模板 的 ID， 配 置 时 可 以 调用 


[ACl]display radio-profile all 











ID Name 
0 radio2-prof-1 

《 
业 radio5-prof-1 4 
Total: 2 


绑 定 相应 的 射频 模板 到 AP 的 天 线 上 


[AC1-wlLan-view]jap 0 radio 0 


[ACl-wlan-radio-0/0]radio-profile id 0 


[ACl-wlan-view]jap 0 radio 1 


[ACl-wlan-radio-0/1]radio-profile ia 1 


3.3.6 ”配置 Wlan-ess 接口 


注意 wlan-ess 接 口 不 成 配置 成 trunk 接 口 


[ACl] interfaceé Wlan-Ess 0 
[AC1l-WlansEss0]port hybrid pvid vlan 13 
[ACl~Wlan-Ess0]port hybrid untagged vlan 13 


3.3.7 ”配置 安全 模板 、 流 量 模板 和 WLAN 服务 集 


ACl]wlan 
ACl-wlan-view]traffic-profile id 0 name traffic-prof-1 
ACl-wlan-traffic-prof-traffic-prof-l1]quit 


ACl-wlan-view] security-profile id 0 name security-prof-1 





ACl-wlan-sec-prof-security-prof-1]quit 


ACl-wlan-view] service-set name Huawei-guest1l1 











ACl-wlan-service-set-huawei-~wlanl]ssid Huawei-guest1 
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[ACl-wlan-service-set-huawei-~wlanl]service-vlan 13 
[ACl-wlan-service-set-Huawei-guestl]jwlan-ess 0 
[ACl-wlan-service-set-Huawei-~guestl1]security-profile id 0 





[ACl-wlan-service-set-Huawei-guestl]traffic-profile id 0 





[ACl-wlan-service-set-Huawei-~guestl]forward-mode direct-forward 





[ACl-wlan-service-set-Huawei-guestl]jundo user-isolate 























[ACl-wlan-service-set-Huawei-guestl1]quit 


3.3.8” 绑 定 服务 集 到 AP 并 提交 配置 执行 


[ACl-wlan-view]jap 0 radio 0 





[AC1l-wlan-radio-0/0]service-set id 0 


[ACl-wlan-radio-0/0]ap 0 radio 1 





[AC1-wlan-radio-0/1]service-set id 0 K 
[ACl-wlan-radio-0/1]quit 





[ACl-~wlan-view]commit ap 0 
Warning: Committing configuration may cause service interruption,continue?[Y/N 


4 





配置 提交 后 ，AP 会 释放 服务 集 为 huawei-guestX 的 无 线 信号， 认证 方式 为 开放 认证 ， 
使 用 无 线 终端 接 入 后 会 获取 192.168.X.0/24 网 段 的 地 址 ,并且 可 以 ping 通 控制 器 和 交换 机 。 


使 用 无 线 笔 记 本 连接 到 Huaweisguest1 








"NN SS 
a 四 无 线 网络 连接 状态 区 
] 攻 常山 
| 2 
连接 
IFv4 连接 : 无 Internet 访问 权限 
IPv6 连接 : 无 网络 访问 权限 
j| | 媒体 状态 : 已 启用 
4 SSID : huawei-euestl 
持续 时 间 : 05:01:50 
速度 : B5.0 Mbps 


信号 质量 : | 
活动 
| a2 一 须 已 接收 
| 


字 节 : 1, 060, 048 457, 861 





| 万 属性 E) | | 哮 禁 用 wm) | [ 诊断 (6) | 


关闭 CC) 


hiss 一 二 | 
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IP 地 址 是 规划 的 X3vlan 的 地 址 ， 如 图 所 示 。 


网 络 连 接 详 细 信息 种 ) : 
属性 
连接 特定 的 DNS 后 纺 
描述 





Intel (R) WiFi Link 1000 BGN 
物理 地 址 7T4-E5-0B-D5-53-B4 

已 启用 DHCF 是 

IFv4 地 址 192. 168. 1. 254 

IFv4 子 网 撞 码 255. 255. 255.0 

获得 租约 的 时 间 2012 年 11 月 15 日 17:31:36 
租约 过 期 的 时 间 2012 年 11 月 16 日 17:31:35 
IFv4 默认 网 关 192. 168.1.1 

IFv4 DHCF 服务 器 192. 168.1.1 

IFv4 DNS 服务 器 

IFv4 WINS 服务 器 

已 启用 HetBI0S ove... 是 

和 连接 -本 地 IFv6 地 址 ”fs80::a56b:63fd:5f61:5e55%12 
IFv6 默认 网 关 

IFv6 DNS 服务 器 fec0:0:0:EEEE: :1%1 
fec0:0:0.: EffE: :2%1 

















C:\Users\zWX>ping 100.100.100.100 


正在 Ping 100.100.100.100 具有 32 字 节 的 数据 : 

来 自 100 .100.100.100 的 回复 : 字 节 332 时 间 =41ms TTL=255 
来 自 100.100.100.100 的 回复 ; 字 节 382 时 间 =9ms TTL=255 
来 自 100.100.100.100 的 回复 :~ 字 节 =32 时 间 =3ms TTL=255 
来 自 100.100.100.100 的 回复 : 字 节 =32 时 间 =12ms TTL=255 








100.100.100.10 的 ?Ping 统计 信息 : 

数据 包 : 已 发 送 = 4 ,已 接收 = 4， 丢失 = 0 (0% 丢失 ) ， 
往返 行程 的 估计 时 间 (以 毫秒 为 单位 ) : 

最 短 = 3ms ， 最 长 = 41ms ， 平均 = 16ms 


3.3.9 在 AC 上 检查 相关 配置 的 命令 


查看 服务 集 


<ACl>dis service-set all 














ID Name SSID 
0 Huawei~guest1 Huawei-guest1 
Total: 1 
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[ACl]dis service-set id 0 





Service-set ID 2 

Service-Set name : Huawei-~guest1 
SSID : Huawei-guest1l 

Hide SSID : disable 

User isolate : disable 

Type : service 

Maximum number of user : 32 

Association timeout (min) ;9 

Traffic profile name ;trEaftie=DEOGFES| 
Security profile name : security-prof-1 


User profile name 下 


Wlan-ess interface : Wlan-ess0 了 
Igmp mode : :OFF 

Forward mode : direct-forward 
Service-vlan ;13 

DHCP snooping : disable 

IPSG switch : disable 

DHCP trust port : qisable 

DAI Switch : disable 

ARP attack threshold (pps) $5 

Protocol flag : all 
Offline-management switch disable 

Sta access-mode : disable 


Sta blacklist profile 二 

Sta whitelist profiNe ee 

Dhcp option82 Insert : Disable 

Dhcp optien82NEormat : Insert AP-mac 
Broadcast Suppression (PPs) : 一 

Multicast Suppression (PPs) : 一 

UTN cast suppression(pps) : -— 
Txaffic-filter inbound acl : 一 


Traffic-filter outbound acl : 一 





Service mode status : enable 

AutoOff service ess status : disable 

AutoOff service starttime ¢ O00000 

AutoOff service endtime 2 00:00:00 
查看 AP 运行 信息 


<ACl>dis ap all 
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All AP information (Normal-1y UnNormalL-0) : 





AP AP AP Profile AP 
/Region 
ID Type MAC ID State 


AP 


Sysname 





0 AP6010DN-AGN cccc-8110-2260 0/0 normal 


ap-0 





<AC1>dqis ap-run-info id 0 


AP 0 run information: 





Software version: V200R003C00SPC200 

Hardware version: Ver.C 

BIOS version: 078 

Domain: CN 

CPU type: AR9344 

CPU frequency: 500 MHZ 

Memory type: HS5PS5162GFR-S6C&1 

AP System software description: AP6010DN-AGN:Ner.C 
AP System hardware description: AP6010DN-AGN:Ver.C 
AP manufacture: Huawei Technologies Coy Ltd. 

AP software name: Huawei Access Poinb Software 
AP software vendor: Huawei Technologies Co., Ltd. 
AP online time: 1081 S 

AP bom code: 000 

IP address: 10.1.10.254 

IP mask: 255.255€238.0 

Gateway ip: 0%0.0.0 

DNS server: 10.254.1.100 

Memory size» 128 MB 

Flash Size: 32 MB 

Run time: 20738 S 

Up ethernet port speed: 1000 Mbps 

Up ethernet port speed mode: auto 


Up ethernet port duplex: full 





Up ethernet port duplex mode: auto 





查看 终端 信息 


<ACl>display access-user 





UserID Username IP address 


MAC 
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1171 74e50bd553b4 192.168. L254 74e5-0bd5-53b4 
1172 f83dffb5a4f2 192.168.1.248 f83d-ffb5-a4f2 





Total 2,2 printed 


<ACl>display station assoc-info ap 0 








STA MAC AP-ID RADIO-ID SS-ID SSID 
f83d-ffb5-a4f2 0 0 0 Huawei-guest1 
74e5-0bd5-53b4 0 0 0 Huawei-guest1 





Total stations: 2 




















《 

查看 指定 无 线 终端 的 详细 信息 

[ACl]dis station status sta 5c0a-5b36-4a7l 
Station mac-address 5c0a-5b36-4a7l 

Station ip-address 民 0.8.0 
Station gateway Biao 0 .0 
Associated SSID Huawei-guest1I 
Station online time (ddd:hh:mm:ss) 000:00:01:30 
The upstream SNR (dB) DL:0 
The upstream aggregate receive power (dBm) -62.0 
Station connect rate (MbpS) 44 
Station connect Channe1l 41493 
Station inactivityytime (ddd:nhnh:mm:ss) 000:00:00:00 
Station current state 

Authorized, for data transfer YES 

Qos enabled YES 

ERP snabled No 

HT rates enabled YES 

Power save mode enabled YES 

Auth reference held No 

uAPSD enabled No 

UAPSD triggerable No 

uAPSD SP in progress No 

This is an ATH node No 

WDS workaround req No 

WDS link No 
Station's HT capability AWP 
Station ERP element (dBm) 0 
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Station capabilities E 
Station's RSSI (dB) 33 
Station's Noise (dBm) -113 
Station's radio mode 1l1in 
Station's AP ID 0 
Station's Radio ID 1 
Station's Authentication Method OPEN 
Station's Cipher Type NO CIPHER 
Station's User Name 5c0a5b364a71 
Station's Vlan ID 13 
Station's Channel Band-width 20MHz 
Station's asso BSSID CeCe=8110=2270 
Station's state Asso with auth 
Station's Qos Mode NULL tk 
Station's HT Mode HT40 
Station's MCS value 下 
Station's Short GI nonsupport 
Station's roam state No 
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3.4 天 键 配置 汇总 


# 

sysname AC1 

# 

http server enable 


http secure-server ssl-policy default policy 





http secure-server enabl 


vlan batch 10 to 13 


dhcp enable 


diffserv domain default 








pki realm default 








nrollment self-signed 
# 
ssl policy default_policy type server 
pki-~realm default 
# 
ip pool vlanl10 

gateway-list 10.1.10.1 
network 10.1.10.0 mask 2553255W255.0 
excluded-ip-address 10 #1%10.100 

dns-list 10.254.1 .100 

option 43 sub-eptien 3 ascii 10.1.10.100 
# 
aaa 

authéntication-scheme default 
authorization-scheme default 
accounting-scheme default 

domain default 

domain default_admin 

local-user admin password cipher admin@huawei.com 
local-user admin privilege level 15 
local-user admin service-type telnet http 
local-user huawei password cipher huaweil23 


local-user huawei privilege level 15 





local-user huawei service-type telnet ssh 
# 


interface Vlanif10 
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ip address 10.1.10.100 255.255.255.0 
dhcp select global 

# 

interface Vlanif1l1 

ip address 10.1.11.100 255.255.255.0 
# 

interface Vlanif12 

ip address 10.1;12.100 255.255.25520 
# 

interface Vlanifl13 

ip address 192.168.1.1 255.255.255.0 
dhcp select interface 

dhcp server dns-list 8.8.8.8 

# 

interface MEth0/0/1 





ip address 192.168.100.200 255.255.255.0 
# 
interface GigabitEthernet0/0/1 





port link-type trunk 

port trunk pvid vlan 10 

port trunk allow-pass vlan 10 to 13 
# 

interface GigabitEthernet0/0/2 

# 
interface GigabitEthernet0/0/3 





interface GigabitEthernet0/0/23 
# 
interface ‘GigabitEthernet0/0/24 





port、link-type trunk 

Port trank allow-pass vlan 10 to 12 
# 

interface XGigabitEthernet0/0/1 

# 

interface XGigabitEthernet0/0/2 

# 





interface Wlan-Ess0 

port hybrid pvid vlan 13 
port hybrid untagged vlan 13 
# 

interface NULLO 

# 
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stelnet server enabl 

# 

i route-statLte: 02520200 .00252020 L010:1 
# 





user-interface con 0 

authentication-mode password 

set authentication password cipher huaweil23 
user-interface vty 0 4 

authentication-mode aaa 

user privilege level 15 

protocol inbound all 

user-interface vty 16 20 

# 

wlan 


wlan ac Source interface vlanif10 


ap id 0 type-id 19 mac cccc-8110-2260 sn 210235448310C9000012 


wmm-profile name radio-prof-1 id 0 


traffic-profile name traffic-prof-1 id 0 





security-profile name security-prof-1 id 0 





service-set name Huawei-guest1l id 0 
wlan-ess 0 

ssid Huawei-guest1 

traffic-profile id 0 
security-profile id 0 

service-vlan 13 

radio-profile name radio2~Prof-1 id 0 
wmm-profile id 0 

radio-profile/iame adio5-prof-1 id 1 
radio-type 80211an 

wmm-profilevid 0 

ab Os、radio 0 

radio-profile id 0 

service-set id 0 wlan 1 

ap 0 radio 1 

radio-profile id 1 


service-set id 0 wlan 1 


return 
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实验 四 : 安全 配置 实验 
4.1 实 验 目标 
。 ”掌握 WLAN 认 证 模板 的 配置 方式 
。 ”掌握 配置 WEP 认 证 的 方法 
。 ”掌握 配置 WPA/WPA2 PSK 认证 的 方法 
。 ”掌握 配置 WPA/WPA2 EAP 认 证 的 方法 
。 ”掌握 批量 下 发 VAP 的 方法 
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4.2 实 验 规划 


X 是 学 员 所 在 组 的 编号 ， 配 置 时 对 应 替换 





组 网 方式 直 连 组 网 + 二 层 组 网 


安全 模板 Security-prof-wepX ID:1 WEP 密 码 : guest 





Security-prof-wpapskX ID:2 WPA PSK 密 码 : Huaweipsk 





Security-prof-wpaeapX ID:3 用 户 名 : huawei 密码 : huawei 








服务 集 Huawei-guestX 安全 模板 : Security-prof-wepX 





Huawei-voiceX SSID : Huawei-voiceX 





服务 VLAN:vlan12 





转发 模式 : 直接 转发 





流量 模板 * traffic-prof-X 





安全 模板 : Security-prof-wpapskX 
Wlan-ess 接 口 1 


用 户 隔离 : 关闭 





Huawei-employeeX SSID : Huawei-employeeX 


服务 VLAN:vlan11 





转发 模式 : 直接 转发 





流量 模板 : traffic-prof-X 





安全 模板 : Security-prof-wpaeapX 





Wlan-ess 接 口 2 





用 户 隔离 : 关闭 











4.3.1 配置 WEP 认证 


华为 AC 配 置 安全 策略 目前 支持 五 类 ，， 每 一 个 服务 集 可 以 调用 一 种 安全 模板 ， 如 下 所 
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安全 策略 策略 说 明 
wapi 中 国 WLAN 安 全 标准 ， 支 持 PSK 认 证 或 证 书 认 证 
wep 可 以 配置 开放 认证 或 share key 认 证 ， 不 安全 
wpa 支持 PSK 认 证 或 EAP 认 证 
wpa2 支持 PSK 认 证 或 EAP 认 证 
wpa-wpa2 同时 兼容 两 种 WPA 方 式 ， 支持 PSK 认 证 或 EAP 认 证 














[ACl-wlan-view] security-profile id 5 name test 





[ACl-wlan-sec-prof-security-prof-1]security-policy ? 


wapi WLAN authentication and privacy infrastructure 
wep Wired equivalent privacy 
wpa Wi-Fi protected access 


wpa-wpa2 Wi-Fi protected access version 1&2 


wpa2 Wi-Fi protected access version- 

服务 集 Huawei-guestX 在 上 一 个 实验 中 采用 open 认 证 ,现在 要 在 原先 配置 的 基础 上 修 
改 其 认证 方式 为 WEP share-keyi 认 证 加密 采用 WEP 40 位 密码 加 密 ， 密 码 是 guest。 

创建 安全 模板 SecUrity-prof-wep1l 本 WEP 加 密 密 钥 为 quest。 WEP 支 持 40 位 密码 、 
104 位 密码 或 128 位 密码 : 

40 位 密码 要 配置 5 个 ASCI 字 符 或 10 个 16 进 制 数 

104 位 密码 要 配置 13 个 ASCII 字 符 或 26 个 16 进 制 数 


128 位 密码 要 配置 16 个 ASCII 字 符 或 32 个 16 进 制 数 


ACl]wlan 


ACl-wlan-view] security-profile id 1 name Security-prof-wepl 








ACl-wlan-sec-prof-Security-prof-wepl]security-policy wep 








ACl-wlan-sec-prof-Security-prof-wepl]wep authentication-method share-key 








ACl-wlan-sec-prof-Security-prof-wepl]wep key wep-40 pass-phrase 0 cipher guest 











ACl-wlan-sec-prof-Security-prof-wepl]quit 
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修改 Huawei-guest1 的 安全 模板 ， 并 重新 提交 到 AP 上 执行 。 


[ACl-wlan-view]dis security-profile all 





ID Name 
0 security-prof-1 
J Security-prof-wepl 





[ACl-wlan-view]dis service-set all 








ID Name SSID 
0 Huawei-guest1l Huawei-guest1I 

C 
Total: 1 


ACl-wlan-view] service-set id 0 








ACl-wlan-view]commit ap 0 


Y 





ACl-wlan-service-set-Huawei-~-guest1l]security-profile'idhn1 


ACl-wlan-service-set-Huawei-~guest1]quit 


Warning: Committing configuration ma 入 catse' service interruption,continue?[Y/N 


验证 WEP 配 置 ， 查 看 安全 模板 的 配置 及 绑 定 的 服务 集 


[ACl]display security-profile id 1 





Profile name 


Security-prof-wepl 











Profile 人 ID 1 
Authéntication Share key 
Encrypt Pon : WEP-40 
Service-set ID SSID 

0 Huawei-guest1 
Bridge-profile ID Bridge Name 





使 用 display access-user ssid “SSID 的 名 字 ” 可 以 查看 指定 SSID 下 面 关 联 的 用 户 


汇总 信息 : 
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[ACl]display access-user 


ssid Huawei-guest1 





UserID Username IP address 


MAC 





1188 5c0a5b364a7l1 192.168;1;252 


5c0a-5b36-4a71l 





Total 1,1 printed 


使 用 display station status sta “终端 MAC 地 址 ” 可 以 查看 终端 的 关联 详细 信息 ， 如 


关联 的 SSID 名 称 、 关 联 的 时 间 、SNR 信 噪 比 、 
5c0a-5b36-4a71 是 WEP-40 位 密码 加 密 的 。 


[ACl-wlan-view]dis station status sta 


认证 方式 、vlan 等 。 


5c0a-5b36-4a71l 


这 里 可 看 到 终端 





Station mac-address 

Station ip-address 

Station gateway 

Associated SSID 

Station online time (ddd:hh:mm:ss) 


The upstream SNR (dB) 





[he upstream aggregate receiyv 





Station connect rate (Mbps) 


Station connect channel 
Station inactivity tihe (ddd:nhn:mm:ss) 
Station current state 
Authorized Afer data transfer 
Qos enabled 


ERP enabled 





HT, rates enabled 
Power save mode enabled 
Auth reference held 
uAPSD enabled 
uAPSD triggerable 
uAPSD SP in progress 
This is an ATH node 
WDS workaround req 
WDS link 
Station's HT capability 
Station ERP element (dBm) 
Station capabilities 


Station's RSSI (dB) 


pewer (dBm) 


5c0a-5b36-4a%l 
0.0.0.0 
0.0.0¢79 
Hudwei=guest1 
000:00:01:03 
54.0 
-590 
26 
153 
000:00:02:15 


ES 








I 
加 
Cn 





EP 
36 
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Station's 
Station's 
Station's 
Station's 
Station's 
Station's 
Station's 
Station's 
Station's 
Station's 
Station's 
Station's 
Station's 
Station's 
Station's 


Station's 


Noise (dBm) 

radio mode 

AP ID 

Radio ID 
Authentication Method 
Cipher Type 

User Name 

Vlan ID 

Channel Band-width 
asso BSSID 

state 

Qos Mode 

HT Mode 

MCS value 

Short GI 


roam state 


= 二 3 
lla 
0 

1 





SHARE 











WEP—40 


5c0a5b364a71 


13 
20MHz 


GECE=8110=2270 


: Asso with auth 


NULL 


0 


nonsupport 


No 





4.3.2 ”配置 WPA PSK 认证 


服务 集 Huawei-voiceX 配 置 为 WPA1-PSK 认 证 : 华为 AC 支 持 的 WPA 配 置 选 项 如 下 : 





WPA 分 类 


加 密 方式 


认证 方式 





WPAMWPA2/WPA 卡 2 个 人 版 


ccmp 或 tkip 


psk( 密 码 8-64 个 


字符 ) 








WPA/WPA2/WPA 个 2 企业 版 


ccmp 或 tkip 








dot1x 





配置 安全 模板 Security-prof-wpapsk1， 定 义 加 密 方式 为 TKIP ，PSK 密 码 是 huawei。 

















ACl-wlan-view]quit 


ACl-wlan-sec-prof-Security-prof-wpapskl]quit 


配置 服务 集 Huawei-voiceX 调 用 的 wlan-ess 接 口 


[ACl] interface Wilan-Ess 1 


[AC1l-Wlan-Essl]port hybrid pvid vlan 12 


pass-phrase cipher Huaweipsk encryption-method tkip 


[ACl-wlan-view] security-profile id 2 name Security-prof-wpapskl 


[ACl-wlan-sec-prof-Security-prof-wpapskl] security-policy wpa 


ACl-wlan-sec-prof-Security-prof-wpapskl]wpa authentication-method psk 
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[AC1-WlLan-Ess1l]port hybrid untagged vlan 12 
[AC1l-Wlan-Essl]quit 

创建 服务 集 Huawei-voiceX， 并 配置 相关 参数 及 绑 定 模板 
ACl]wlan 
ACl-wlan-view]service-set id 1 name Huawei-voicel 
ACl-wlan-service-s Huawei~voicel]ssid Huawei~-voicel 
ACl-wlan-service-s Huawei~voicel]service-vlan 12 
ACl-wlan-service-s Huawei-voicel]jwlan-ess 1 
ACl-wlan-service-s Huawei~voicel]security-profile id 2 
ACl-wlan-service-s Huawei-~voicel]traffic-profile id 0 
ACl-wlan-service-s Huawei~voicel]forward-mode direct-forward 
ACl-wlan-service-s Huawei-voicel]undo user-isolate K 
ACl-wlan-service-s Huawei-~voicel]quit 





[ACl-wlan-view]jbatch ap 0 to 0 radio 0 tO 1 service-set 1 
TnEo.s 
Success: 


Failure: 




















通过 批 处 理 命令 批量 配置 VAP ,如 果 有 大 量 AP 需 要 配置 VAP 的 话 ， 可 以 通过 batch 来 执 


2 
0 


Command is being 





xecuted, Pleas 


wait. 


通过 命令 commit all 可 以 二 次 性 提交 全 部 AP 的 配置 参数 去 执行 ,可 以 提高 配置 的 效率 。 


[AC1l-wlan-view} commit /all 


Warning: Committing configuration may cause service interruption,continue?[Y/N 


].¥ 


此 时 WPA-PSK 的 配置 已 经 完成 ， 可 以 在 无 线 PC 上 进行 连接 和 测试 互通 性 。 
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HOAWE! HCNA-WALN 华为 认证 无 线 局 域 网 络 工程 师 实验 指导 书 HCNA-WLAN 
Huawei-voicel 无 线 网 络 屋 性 国 2 无比 网 络 连 接 状态 | x 
连接 | 安全 常规 
连接 
安全 类 型 EE): [WPA - 个 人 | IPv4 连接 : 无 Internet 访问 权限 
加 要 类 型 m: [IIIP J) i eo 
网 络 安全 密 钥 KK) huaweipsk SSsID: Huawei—voicel 
| 持续 时 间 : 00:02:57 
回 显 示 字 符 0 速度 : 54.0 Mbps 
信号 质量 : 
| [详细 信息 E)... | [无线 属性 W) ] 
活动 
B 送 一 好 一 己 殷 k 
字 节 : 8, 076 | 1,664 
| 
| 友 属 性 E) | | 号 禁用 Oo) ] | 诊断 (6) | | 























C:\Users\zWX>ipconfig 
无 线 局 域 网 适配器 无 线 网 络 连 接 : 
连接 特定 的 DNS 后 级 . 


本 地 链接 ITPv6 地 址 . . . . . . . . : fe80::a56b%63fd:5f81:5e55%$12 
IPv4 地 址 . . . . . . . . . . . . : 10.11123253 

子 网 掩 码 . . ..........: 久 55%55.255.0 

默认 网 关 . ， . . . . . . . . . . :NI 外 1.12.1 


C:\Users\zWX> ping 100.100。L0Q.100 


正在 Ping 100.100.1060.100%, 具 有 32 字 节 的 数据 : 

来 自 100 .100.100.100, 的 回复 : 字 节 =32 时 间 =20ms TTL=255 
来 。 回复 : 字 节 = 十 间 =4ms TTL= 
来 自 100 .100.100. X00 的 回复 : 字 节 =32 时 间 =4 255 
来 。 。 J 回复: 字 节 = 十 间 =7ms TTL= 
来 自 100.100 已 00 . 江 00 的 回复 : 字 节 =32 时 间 =7 255 
来 自 60100%、100 .100 的 回复 : 字 节 =32 时 间 =13ms TTL=255 








100.ioo.100.100 的 Ping 统计 信息 : 
数据 包 : 已 发 送 = 4， 已 接收 = 4，, 丢失 = 0 (0% 丢失 ) ， 
往返 行程 的 估计 时 间 (以 毫秒 为 单位 ) : 


最 短 = 4ms ,最 长 = 20ms ,平均 = 11ms 


在 AP 上 碍 看 指定 客户 端的 详细 信息 ， 可 以 看 到 客户 端的 认证 类 型 。 


<ACl>display station status sta 74e5-0bd5-53b4 








Station mac-address : 74e5-0bd5-53kb4 
Station ip-address 00 O00 
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Associated SSID : Huawei-voicel 
Station online time (ddd:hh:mm:ss) : 000:00:01:04 
The upstream SNR (dB) : 85.0 
The upstream aggregate receive power (dBm) : -44.0 
Station connect rate (Mbps) :3.7 
Station connect channel < 
Station inactivity time (ddd:hh:mm:ss) : 000:00:00:00 


Station current state 





Authorized for data transfer : YES 
Station's Authentication Method : WPAl1-PSK 
Station's Cipher Type : TKIP 
Station's User Name : 74e50bd553b4 
Station's Vlan ID A K 
Station's Channel Band-width : 20MHz 


4.3.3 配置 WPA EAP 认证 


WLAN 的 EAP 认 证 架构 需要 三 个 组 件 来 实现 : 客户 端 六 认证 者 、 认 证 服务 器 。 


客户 端 认证 者 认证 服务 器 
RE 
ee 
PC AP AC Radius Server 


实验 中 我 们 用 到 的 认证 服务 器 为 10.254.1.100，radius 的 密码 是 : huawei， 认 证 服务 
器 已 经 配置 好 客户 端 和 创建 测试 账号 ， 用 户 : huawei 密码 : huawei。 


认证 服务 器 已 经 配置 好 ， 学 员 无 需 配置 。 
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GE -ey 

















检定 | 友 | 醒 | 回 语 
亚 S (本 地 ) 











文件 C) 操作 w 查看 厅 四 于 了 于 和 和 和 和 和 xl 
设置 | 
克 启用 此 RMADIVS 客户 庙 串 ) 


回 RADIUS 客户 庙 和 服务 器 
习 RADIUS 客户 应 
_， 罚 远程 BDIVS 服务 器 组 











































































本 本 
J 地 址 CP 或 DIS) O): 
a Eiriim 是 wo | 
络 访 问 保 i 
i 训 me 守 ann 标 礁 ， 或 人 下 该 择 MITUS 客户 
”图 更 新 服务 器 组 
喝 记 幅 供应 商 名 称 遇 ): [ons stanasra 本 
手动 键入 共享 机 密 ， 请 单 击 “ 手 动 ”。 若 要 自 去 享 机 密 ， 请 单 击 “ 
tt od 
他 手动 0 个 生成 名 
共享 机 密 (3): 
确认 共享 机 密 (0): 
旬 网 络 策略 服 务 器 
文件 F)】 操作 查看 WW) 帮助 00 
TEs 
还 $ [本地 ) 
日 国 RADIVS 客户 庙 和 服务 器 
目 RADIUS 客户 应 
避 六 远程 RADIVS 服务 器 组 后 光 型 沁 
和 授权 访问 “未 指定 
辣 网 络 第 略 - 授权 访问 ”未 指 定 
国 健康 第 略 , 剧 到 扯 eroseft 路 由 和 远程 访问 服务 器 的 连接 999998 ”拒绝 访问 未 指定 
日 喝 网 络 访问 保护 ,局 到 其 他 访问 服务 器 的 连接 999999 ”拒绝 访问 未 指定 
尖 系统 健康 验证 器 
习 更 新 服务 器 组 
唱 记 帐 


条 件 - 


如 果 满 足下 列 条 件 : 





值 
NAS 庙 口 类 型 无 线 - 其 他 0R 无 线 - IEEE 802.11 
Windows 组 ”WLAN\Domain Users 


设置 - 


则 应 用 下 列 设置 : 





设置 值 

忽略 用 户 所 入 属性 True 

访问 权限 授权 访问 

可 扩展 的 身份 验证 协议 方法 晶 crosoft: 受 保 护 的 EAP (PEAP) 








在 AC 上 配置 radius 认 证 服务 器 


[AC1] radius-server template radius_ huawei 


[AC1-radius-radius_huawei] 


[AC1-radius-radius_huawei] 


radqius-server authentication 10.254.1.100 1812 


radius-server shared-key cipher huawei 


[AC1l-radius-radius_huaweil]undo radius-server user-name domain-included 


[AC1-radius-radius_huawei] 


Guit 
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配置 AAA 方案 ， 测 试 AAA 的 配置 


AC1] aaa 
AC1-aaa]l authentication-scheme radius_ huawei 
AC1-aaa-authen-radqius_huawei]l authentication-mode radius local 


ACl-aaa-authen-radius_huawei] quit 


ACl-aaaldomain default 





ACl-aaa-domain-defaultlauthentication-scheme radius_huawei 





ACl-aaa-domain-defaultl]radius-server radius_ huawei 





AC] test-aaa huawei huawei radius-template radius_ huawei 


Info: Account test succeed. 国 
《 
如 果 测 试 未 能 通过 ， 也 可 先 不 关注 ， 实 验 测试 互通 以 用 户 能 否 正常 关联 为 准 。 
配置 安全 模板 Security-prof-wpaeap1， 定义 加 密 方式 为 cifip， 认 证 方式 为 dot1x 


peap。 


[ACl-wlan-view] security-profile id 3 得 am& Security-prof-wpaeapl 





[ACl-wlan-sec-prof-Security-prof-wpaeapl]security-policy wpa2 





[ACl-wlan-sec-prof-Security-prof-wpaeapl]jwpa2 authentication-method dotlx e 


ncryption-method ccmp 





[ACl-wlan-sec-prof-Security-Prof-wpaeapl]quit 


创建 wlan-ess 接口 并 且 在 全 局 和 接口 上 开启 dot1x 认 证 


ACl]dotlx enable 

ACl1l] iNterfacé Wlan-Ess 2 
ACG1-Wlan=Ess2]Port hybrid pvid vlan 11 
ACl~Wlan-Ess2]port hybrid untagged vlan 11 
[AC1-Wlan-Ess2]dotlx enable 


ACl-Wlan-Ess2]dotlx authentication-method eap 





ACl-Wlan-Ess2]quit 


创建 服务 集 Huawei-employeeX， 并 配置 相关 参数 及 绑 定 模板 





[ACl-wlan-view] service-set id 2 name Huawei-employeel 





[ACl-wlan-service-set-Huawei-employeel]ssid Huawei-employeel 





[ACl-wlan-service-set-Huawei-~employeel]service-vlan 11 





[ACl-wlan-service-set-Huawei-employeel]wlan-ess 2 
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ACl-wlan-service-set-Huawei-~-employeel]security-profile id 3 
ACl-wlan-service-set-Huawei-employeel]traffic-profile id 0 
ACl-wlan-service-set-Huawei-employeel]forward-mode direct-forward 
ACl-wlan-service-set-Huawei-employeel]tunnel-forward protocol dotilx 
ACl-wlan-service-set-Huawei-employeel]undo user-isolate 
ACl-wlan-service-set-Huawei-employeel]quit 























通过 批 处 理 命令 批量 配置 VAP ,如 果 有 大 量 AP 需 要 配置 VAP 的 话 ， 可 以 通过 batch 来 执 


[ACl-wlan-view]batch ap 0 to 0 radio 0 to 1 service-set 2 


Info: Command is being executed, please wait. 





Success: 2 《 


Failure: 0 


通过 命令 commit all 可 以 一 次 性 提交 全 部 AP 的 配置 参数 去 执行 ,可 以 提高 配置 的 效率 。 


[ACl-wlan-view]commit all 
Warning: Committing configuration may cause Service interruption,continue?[Y/N 


]Y 


此 时 WPA-PSK 的 配置 已 经 完成 ， 可 以 通过 如 下 命令 验证 配置 参数 。 


[ACl]display current-configuratdon interface Wlan-Ess 2 


# 





interface Wlan-Ess2 

port hybrid pyTd vbhan 11 

port hybrid untagged vlan 11 
dotlx enakble 

dotlx authentication-method eap 

大 

[ACTdisplay security-profile id 2 











Profile name : Security-prof-wpapskl 
Profile ID He 

Authentication : WPA PSK 

Encryption :KEP 

Service-set ID SSID 

1 Huawei~-voicel 
Bridge-profile ID Bridge Name 
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Mesh-profile ID Mesh Id 





[ACl]dis service-set all 














ID Name SSID 

0 Huawei-guest1l Huawei-guest1I 

1 Huawei~-voicel Huawei~-voicel 

2 Huawei~-employeel Huawei-employeel 

: 《 

[ACl]display access-user € 
UserID Username IP address MAC 

1593 huawei 10.1.11.254 5c0a-5b36-4a7F 





Total 1,1 printed 


4.3.4 配置 EAP 客户 端 


手工 添加 无 线 网 络 配置 ， 不 用 十 载 CA 证 书 

在 window7 终 端的 右 下 角 网 卡 图 标 上 单 击 “ 打 开 网 络 和 共享 中 心 “ 
单 击 “管理 无 线 网 络 “ 

单 击 “ 添 加 “ 

点 击 “ 手 工 创 建 网 络 配置 文件 “ 


按 如 下 参数 配置 网 络 配置 文件 ， 后 点 下 一 步 : 
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HCNA-WLAN 








和 风光 洛 





输入 您 要 添加 的 无 线 网 络 的 信息 


网 络 名 (): Huawei-employeel 





安全 类 型 (S): [wpaz 企业 








加 密 类 型 (R): | AES 








安全 客 铀 ( 〇 : 





六 自动 启动 此 连接 (TD) 
回 | 即使 网 络 未 进行 广播 也 连接 (O) 

















警告: 如 果 选 择 此 选项 ， 则 计算 机 的 隐私 信息 可 能 存在 风险 。 











完成 以 后 点 击 “ 更 改 连接 文件 


六 
me RAR 
PP AN 
上 漠 考生 说 到 天 线 网 络 \ \ 





成 功 地 添加 了 Huawei-employeel 





》 更 改 连 接 设 置 (H) 
拖 开 连接 尾 性 以 便 更 改 设置 。 
出 
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HCNA-WLAN 





更 改 配置 如 下 : 


Huawei-employeel 无 线 网 络 尾 性 










































连接 “| 安全 
安全 类 型 E): YPA2 - 企业 加 
加 密 类 型 0) : [aEs | 
选择 网 络 身份 验证 方法 @) : 





Microsoft: 受 保 护 的 FAF (FEAF) 

















避 每 次 登录 时 记 住 此 连接 的 赁 据 名 ) 





















































连接 到 这 些 服务 器 0) 
| 


受信 任 的 根 证 书 航 家 机构 外 
AddTrust External CA Root 











EAP MSCHAPv2 尾 性 








当 连 接 时 : 人 
蝇 信用 登录 名 和 密码 wks v 


























攻 re 
加 | 启用 快速 重新 连接 宦 ) 
强制 执行 网 绍 访 问 保 护 0 


如 果 服 务 器 未 提供 加 密闭 定 的 TLY 则 断 开 和 连接 0) 
回 二 标识 隐私 CI) 





























[和 ] [取消 | 














此 时 会 弹出 认证 信息 ， 单 击 并 输入 用 户 名 :huawei 密码 :huawei. 





。 单 击 以 提供 良 他 信息 。 





Cc 
Windows 安全 


有 连接 Huaw 疝 -Sifhployeel 需要 其 他 信息 。 ~、 x 








DDCno 


16:27 
2012/11/16 











网 络 身份 验证 
请 给 入 用 户 赁 据 
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可 以 看 到 用 户 认证 成 功 ， 并 且 会 得 到 相应 的 IP 地 址 


当前 连接 到 
~ 未 识别 的 网 结 
无 网 络 访 问 


= Huawei-employeel 
无 Internet 访问 





Huawei-employeel 已 连接 


New World Cafe 


huawel-guestil 5 





Huawel-volcel 
eSpace EGW _5CDA 


TP-LINK 2.4GHz_D9E980 


打开 网 络 和 共享 中 心 





此 时 在 无 线 终端 上 可 以 看 到 用 户 得 到 VLAN11 的 IP， 并 且 可 以 ping 通 核心 交换 机 。 


C:\Users\zWX>ipconfig 


无 线 局 域 网 适配器 无 线 网 络 连接 : 


连接 特定 的 DNS\ 后 缀 . . . . . . . : 


本 地 链接 4PV6 地 址 . . . . ....: fe80::a56b:63fd:5f81:5e55%$12 
IPvg/ 凶 址 MN.......... ;10.1.11.253 

孙 网 掩 码 >. . . . . . . . . . . . : 255.255.255.0 

默认 网 关 . . . . . . . . . . . . . : he ee Wl 


C:\Users\zWX>ping 100.100.100.100 


正在 Ping 100.100.100.100 具有 32 字 节 的 数据 : 

来 自 100 .100.100.100 的 回复 : 字 节 =32 时 间 =64ms TTL=255 
来 3 : 和 回复: 字 节 = 十 间 =7ms TTL= 
来 自 100.100.100.100 的 回复 : 字 节 =32 时 间 =7 255 
来 y > 和 回复: 字 节 = 十 间 =7ms TTL= 
来 自 100.100.100.100 的 回复 : 字 节 =32 时 间 =7 255 
来 2 4 回复: 字 节 = 十 间 =9ms TTL= 
来 自 100.100.100.100 的 回复 : 字 节 =32 时 间 =9 255 








100.100.100.100 的 Ping 统计 信息 : 
数据 包 : 已 发 送 = 4 ,已 接收 = 4，, 丢失 = 0 (0% 丢失 ) ， 
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往返 行程 的 估计 时 间 (以 毫秒 为 单位 ) : 


最 短 = 7ms ， 最 长 = 64ms ， 平均 = 21ms 


4.3.5 ”安全 配置 注意 事项 
安全 策略 配置 注意 事项 : 


如 果 在 安全 策略 中 采用 了 802.1x 方 式 时 必须 在 WLAN-ESS 接 口 视 图 下 执行 命令 dot1x 
enable 和 dot1x authentication-method { chap | pap | eap } 配 置 WLAN-ESS 接 口 下 的 认 
证 方式 为 802.1x 并 配置 WLAN 用 户 的 802.1x 认 证 方法 。 

如 果 在 安全 策略 中 采用 了 MAC 认 证 方式 时 ， 必须 在 WLAN-ES6 接 [风行 命令 
mac-authentication enable 配 置 WLAN-ESS 接 口 下 的 认证 方式 为 MAC 认 证 方式 。 

如 果 在 安全 策略 中 采用 了 Portal 认 证 方式 时 ， 必 须 在 WLAN-ESS 接 口 视图 下 执行 命令 
web-authentication enable 配 置 WLAN-ESS 接 白 下 的 认证 方式 为 Portal 认 证 方式 。 

802.1x+ 数 据 直 接 转发 的 组 网 情况 下 ,需要 在 AC 与 AP 之 间 配 置 二 层 协 议 透 明 传输 ， 配 
置 方 法 如 下 : 

框 式 交 换 机 设备 只 需要 在 接口 视图 下 执行 命令 bpdu bridge enable。 

盒 式 交换 机 设备 ,: 全 局 视图 下 执行 命令 |2protocol-tunnel user-defined-protocol 
protoéol-naime protocol-mac protocol-mac group-mac group-mac ;并 且 接 口 视图 下 
执行 命令 12protocol-tunnel user-defined-protocol protocol-name enable 和 命令 
bpdu enable。 

802.1x+ 数 据 直 接 转发 + 三 层 组 网 情况 下 ， 由 于 802.1x 认 证 时 的 EAP 报 文 为 二 层 认证 报 
文 ， 在 AP 与 AC 间 为 三 层 组 网 且 AP 配 置 为 直接 转发 模式 的 场景 下 ， 报 文 不 能 通过 三 层 转 发 。 
需要 执行 命令 tunnel-forward protocol dot1x 使 能 协议 报 文 隧道 转发 功能 ，AP 将 用 户 的 


EAP 报 文 进行 隧道 封装 ， 通 过 隧道 转发 给 AC 处 理 ， 在 AP、AC 之 间 实 现 认 证 报 文 的 交互 。 
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直接 转发 和 隧道 转发 配置 注意 事项 : 

如 果 转 发 模式 为 隧道 转发 ， 并 且 由 AC 给 用 户 分 配 地 址 池 ， 必须 在 WLAN-ESS 接 口 视图 
下 执行 命令 dhcp enable 使 能 WLAN-ESS 接 口 的 DHCP 功 能 。 

如 果 转 发 模式 为 隧道 转发 ， 需 要 在 WLAN-ESS 接 口 视 图 下 执行 命令 port hybrid pvid 
vlan vlan-id 配 置 PVID。 


如 果 转 发 模式 为 隧道 转发 , 接 入 交换 机 上 直接 与 AP 相连 的 接口 不 能 加 入 业务 VLAN ; 防 


止 产生 MAC 漂 移 。 
如 果 转 发 模式 为 直接 转发 ， 接 入 交换 机 上 直接 与 AP 相 连 的 接口 需要 加 入 业务 VLAN。 
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4.4 天 键 配 置 汇 总 
# 

sysname AC1 
# 

http server enable 

http secure-server ssl-policy default_ policy 

http secure-server enabl 
vlan batch 10 to 13 
dotlx enable 

《 
A 

dhcp enable 
diffserv domain default 
radius-server template radius_ huawei 

radius-server authentication 10.254.1.100 1812Wweight 80 

undo radius-server user-name domain-inclkuded 
# 
pki realm default 

nrollment self-signed 
# 
ssl policy default poliey\type server 

pki-~realm default 
# 
ip pool vlanl10 
gateway—-list MO.1.10.1 
netwofk 局 0.T 10.0 mask 255.255.255.0 

exeluded~ip-address 10.1.10.100 

dns-1ist 10.254.1.100 

option 43 sub-option 3 ascii 10.1.10.100 
# 
aaa 

authentication-scheme default 

authentication-scheme radius_ huawei 

authentication-mode radius local 

authorization-scheme default 

accounting-scheme default 

domain default 

authentication-scheme radius_huawei 
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radius-server radius_ huawei 

domain default_admin 

local-user admin password cipher admin@huawei.com 
local-user admin privilege level 15 

local-user admin service-type telnet http 
local-user huawei password cipher huaweil23 


local-user huawei privilege level 15 





local-user huawei service-type telnet ssh 
# 

interface Vlanif10 

ip address 10.1.10.100 255.255.255.0 
dhcp select global 

# 

interface Vlanif1l1 

ip address 10.1.11.100 255.255.255.0 
# 

interface Vlanif12 

ip address 10,.1,.12.100 255.255.255.,.0 
# 

interface Vlanifl13 

ip address 192.168.1.1 255.255.255.0 
dhcp select interface 

dhcp server dns-list 8.8.8.8 

# 

interface MEth0/0/1 





ip address 192.168.100( 200 255.255.255.0 
# 
interface GigabpitEthernet0/0/1 





port link-type、trunk 

port trunk pvid vlan 10 

PortANrunk allow-pass vlan 10 to 13 
大 

interface GigabitEthernet0/0/2 





interface GigabitEthernet0/0/23 
# 
interface GigabitEthernet0/0/24 





port link-type trunk 

port trunk allow-pass vlan 10 to 12 
# 

interface XGigabitEthernet0/0/1 
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# 
interface XGigabitEthernet0/0/2 
# 





interface Wlan-Ess0 

port hybrid pvid vlan 13 
port hybrid untagged vlan 13 
# 





interface Wlan-Essl 

port hybrid pvid vlan 12 
port hybrid untagged vlan 12 
# 





interface Wlan-Ess2 

port hybrid pvid vlan 11 
port hybrid untagged vlan 11 
dotlx enable 


dotlx authentication-method eap 


interface NULLO 


stelnet server enable 


ip route-static 0.0.0.0 0.0.0.0 10.M.1Q.1 








user-interface con 0 

authentication-mode password 

set authentication password cipher huaweil23 
user-interface vty 0N4 

authentication*mode, aaa 

user privigege\level 15 

protocol inbound all 

user-interface vty 16 20 

大 

wlan 


wlan ac source interface vlanif10 


ap id 0 type-id 19 mac cccc-8110-2260 sn 210235448310C9000012 


wmm-profile name radio-prof-1 id 0 


traffic-profile name traffic-prof-1 id 0 





security-profile name security-prof-l1 id 0 





security-profile name Security-prof-wepl id 
wep authentication-method share-key 


wep key wep-40 pass-phrase 0 cipher guest 





security-profile name Security-prof-wpapskl1 id 2 


security-policy wpa 


1 
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wpa _ authentication-methodq psk pass-phrase cipher Huaweipsk encryption-method 


tkip 





security-profile name Security-prof-wpaeapl id 3 


security-policy wpa2 





service-set name Huawei-~guestl1 id 0 
wlan-ess 0 

ssid Huawei-guest1 

traffic-profile id 0 
security-profile id 1 


service-vlan 13 





service-set name Huaweli-voicel id 1 
wlan-ess 1 

ssid Huawei-~voicel 

traffic-profile id 0 
security-profile id 2 

service-vlan 12 

service-set name Huawei-employeel id 2 
wlan-ess 2 

ssid Huawei-employeel 
traffic-profile id 0 
security-profile id 3 
service-vlan 11 

radio-profile name radio2-prof-1 dd 0 
wmm-profile id 0 

radio-profile name radio5 “Broisl1 ia 1 
radio-type 80211an 

wmm-profile id 0 

ap 0 radio 0 
radio-profile\id>0 
service-set Nad 0 wlan 1 
Seryicerset id 1 wlan 2 
serviceé-set id 2 wlan 3 

ap、0 radio 1 
radio-profile id 1 
service-set id 0 wlan 1 
service-set id 1 wlan 2 
service-set id 2 wlan 3 

# 


Return 
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实验 五 : “ 劳 挂 


5.1 实 验 目标 


层 组 网 “实验 ( 选 做 实验 ) 


。 ”掌握 旁 挂 组 网 实验 台 的 搭建 方法 


。 ”掌握 三 层 组 网 的 配置 原理 


。 ”掌握 配置 隧道 转发 的 配置 


。 ”验证 三 层 组 网 的 配置 


5.2 实 验 规划 


认证 服务 器 
10.254.1.100 









WLAN 网 管 
从 10.254.1.200 


Bs 


GE0/0/1 惰 汕 le GE0/0/20 


CY kK 者 GE0/0/10 


GEQW02 GRO/0/12 


AC2 AP2 
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X 是 学 员 所 在 组 的 编号 ， 配置 时 对 应 替换 














组 网 方式 旁 挂 组 网 + 三 层 组 网 + 隧道 转发 
AP 变动 移动 APX 到 核心 交换 机 的 GO/O/IX 接 口 
AC 变 动 添加 vlan 80X 及 trunk IP:10.1.201.1/24 





修改 wlan source 为 vlan 80X 





的 配置 6 





修改 AP 的 vlan 1X DHCP 池 的 optiori 43 





5.3.1] ”变更 AP 的 接线 


连接 APX 到 核心 交换 机 的 第 IX 接口 上 ,交换 机 接口 的 配置 已 经 预先 完成 ， 如 下 : 


<CoreSW3700>dis current-configurxration interface Ethernet 0/0/11 
# 
interface Ethernet0/0/11 





port link-type access 


port default vlan 0 





stp edged-porit enabl 
# 


5.3.2 只 更 新 vlan 及 trunk 


ACl]vlan 801 
[ACl]interface GigabitEthernet 0/0/24 
AC1-XGigabitEthernet0/0/1]port trunk allow-pass vlan 801 





AC1-XGigabitEthernet0/0/1]quit 


ACl]interface Vlanif 801 
ACl-Vlanif801]ip address 10.1.201.100 24 





AC1-Vlanif801]quit 


更 新 AP 的 默认 路 由 的 配置 
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[ACl]undo ip route-static 0.0.0.0 0.0.0.0 
[AC1]ip route-static 0.0.0.0 0.0.0.0 10.1.201.1 


此 时 ACX 可 以 ping 通 vlan80X 的 网 关 地 址 10.1.20X.1 


[AC1]ping 10.1.201.1 





PING 10.1.201.1: 56 data bytes, press CTRL_C to break 
Reply from 10.1.201.1: bytes=56 Sequence=1 ttl1=255 七 Ime=14 ms 
Reply from 10.1.201.1: bytes=56 Sequence=2 ttl1=255 time=10 ms 
Reply from 10.1.201.1: bytes=56 Sequence=3 ttl1=255 time=10 ms 
Reply from 10.1.201.1: bytes=56 Sequence=4 ttl1=255 time=10 ms 
Reply from 10.1.201.1: bytes=56 Sequence=5 ttl1=255 time=10 ms 
--- 10.1.201.1 ping statistics 一 -一 tk 


5 packet (s) transmitted 

5 packet (s) received 

0.00% packet loss 

round-trip min/avg/max = 10/10/14 ms 


5.3.3 ”AP 上线 配置 


修改 DHCP 配 置 和 WLAN 源 的 配置 使 AP 可 以 发 现 控制 器 


[AC1]ip pool vlanl0 
[AC1-ip-pool-vlanl0]dis this 

# 

ip pool vlan10 

gateway-list A0、1.10.1 

network 1 .1.0 mask 255.255.255.0 
excluded-ip-address 10.1.10.100 
dns-Nst、y10.254.1.100 

option 43 sub-option 3 ascii 10.1.10.100 
# 


feturn 


ACl-ip-pool-vlanl0]undo option 43 
ACl1l-ip-pool-vlanl0]option 43 sub-option 3 ascii 10.1.201.100 


AC1l-ip-pool-vlanl0]quit 


ACl]wlan 


ACl-wlan-view]jundo wlan ac source interface 





ACl-wlan-view]jwlan ac source interface Vlanif 801 
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修改 服务 集 的 转发 模式 为 隧道 模式 


ACl]wlan 


ACl-wlan-view] service-set id 0 





[AC1l-wlan-service-set-Huawei-~voicel]forward-mode tunnel 


ACl-wlan-view]service-set id 1 





ACl-wlan-service-set-Huawei~voicel]forward-mode tunnel 





ACl-wlan-service-set-Huawei~voicel]quit 


[ACl-wlan-view] service-set id 2 





ACl-wlan-service-set-Huawei-~-employeel]forward-mode tunnel 








[ACl-wlan-service-set-Huawei-~employeel]quit 








ACl-wlan-view]commit all 


Warning: Committing configuration may cause service interruption,cafitinue? [Y/N 





Y 


此 时 配置 已 经 完成 ， 等 几 分 种 以 后 可 以 看 到 AP 通 过 三 层 网 络 上 线 开 控制 器 上 ， 原先 配 
置 的 服务 集 依然 可 用 。 


[ACl]dis ap all 


All AP information (Normal-1 UnNormaL -0)E: 








AP AP AP Profile AP AP 
/Region 
ID Type MAC ID State Sysname 
0 AP6010DN-AGN cccc-8110-2260 0/0 normal ap-0 





Total nuinber: 1 


[ACl]gi'splay_ station assoc-info ap 0 








STANMAC AP-ID RADIO-ID SS-ID SSID 
74e5-0bd5-53b4 0 0 2 Huawei-employeel 
5c0a-5b36-4a71 0 0 0 huawei-guest1 





[ACl]dis service-set id 2 





Service-set ID 这 

Service-Set name : Huawei-~employeel 
SSID : Huawei-~employeel 
Hide SSID : disable 
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User isolate disable 
Type service 
Maximum number of user 32 
Association timeout (min) 3 
Traffic profile name traffic-prof-1 
Security profile name Security-prof-wpaeapl 
User profile name 一 
Wlan-ess interface Wlan-ess2 
Igmp mode off 
Forward mode tunnel 
Service-vlan 二 
DHCP snooping disable 
IPSG switch disable 
DHCP trust port disable tk 
DAI switch disable 
ARP attack threshold (pps) 15 
Protocol flag all 
Offline-management Switch disable 
Sta access-mode disable 
Sta blacklist profile 兰 
Sta whitelist profile = 
Dhcp option82 Insert Disable 
Dhcp option82 Format Insert \Ap-mac 
Broadcast suppression (pps) FS 
Multicast suppression(pps] :Yr 
Unicast suppression\(ppsy  : 一 
Traffic-filter irnbound acl : 一 
Traffic-filtefNoutRoanad acl : - 
Service mede status enable 
AutoOff Seryice ess status disable 
AutoOff, service starttime 00:00:00 
AUtoOff service endtime 00:00:00 
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5.4 天 键 配置 

# 

sysname AC1 

# 

snmp-agent local-engineid 800007DBO3FC48EFC76DB7 
snmp-agent community read publicRoO 

snmp-agent community write publicRW 

undo snmp-agent community complexity-check disable 
snmp-agent sys-info version v2c v3 

snmp-agent 

# 

http server enable tk 
http secure-server ssl-policy default_ policy 

http secure-server enable 

# 

vlan batch 10 to 13 801 

# 

dotlx enable 

# 

dhcp enable 

# 

diffserv domain default 

# 

radius-server templatey radius_ huawei 

radius-server authéntication 10.254.1.100 1812 weight 80 
undo radius-serxrverswuser-name domain-included 

# 
pki realmNdqefault 

enrodlnent ‘self-signed 

# 

ssi1 policy default_policy type server 

Pki-~realm default 

# 

ip pool vlanl10 

gateway-list 10.1.10.1 

network 10.1.10.0 mask 255.255.255.0 

dns-list 10.254.1.100 

option 43 sub-option 3 ascii 10.1.201.100 

# 
aaa 

authentication-scheme default 
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authentication-scheme radius_huawei 
authentication-mode radius local 
authorization-scheme default 
accounting-scheme default 
domain default 
authentication-scheme radius_huawei 
radius-server radius_ huawei 
domain default_admin 
local-user admin password cipher admin@huawei.com 
local-user admin privilege level 15 
local-user admin service-type telnet http 
local-user huawei password cipher huaweil23 
local-user huawei privilege level 15 
local-user huawei service-type telnet ssh tk 
# 
interface Vlanif10 
ip address 10.1.10.100 255.255.255.0 
dhcp select global 
# 
interface Vlanif1l 
ip address 10.1.11.100 255.255.255.0 
# 
interface Vlanif12 
ip address 10.1.12.100 255.2a5s2oe5.0 
# 
interface Vlanifl13 
ip address 192.168.MN1 255.255.255.0 
dhcp select inferface 
dhcp servet dns-list 8.8.8.8 
# 
interface Vlanif801 
dp \addRéss 10.1.201.100 255.255.255.0 
# 
interface MEth0/0/1 
ip address 192.168.100.200 255.255.255.0 
# 
interface GigabitEthernet0/0/1 
port link-type trunk 
port trunk pvid vlan 10 
port trunk allow-pass vlan 10 to 13 
# 
interface GigabitEthernet0/0/2 
# 
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interface GigabitEthernet0/0/23 
# 
interface GigabitEthernet0/0/24 





port link-type trunk 

port trunk allow-pass vlan 10 to 12 801 
# 

interface XGigabitEthernet0/0/1 

# 

interface XGigabitEthernet0/0/2 

# 





interface Wlan-Ess0 

port hybrid pvid vlan 13 
port hybrid untagged vlan 13 
# 





interface Wlan-Essl 

port hybrid pvid vlan 12 
port hybrid untagged vlan 12 
# 





interface Wlan-Ess2 

port hybrid pvid vlan 11 

port hybrid untagged vlan 11 
dotlx enable 

dotlx authentication-methoqd eap 
# 

interface NULLO 

# 





stelnet sexrver、enabl 

# 

ip rowutexstatic 0.0.0.0 0.0.0.0 10.1.201.1 
大 

user-“interface con 0 

authentication-mode password 

set authentication password cipher huaweil23 
user-interface vty 0 4 

authentication-mode aaa 

user privilege level 15 

protocol inbound all 

user-interface vty 16 20 

# 

wlan 


wlan ac source interface vlanif801 
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ap id 0 type-id 19 mac cccc-8110-2260 sn 210235448310C9000012 
wmm-profile name radio-prof-1 id 0 


traffic-profile name traffic-prof-l1 id 0 





security-profile name security-prof-l1 id 0 





security-profile name Security-prof-wepl id 1 
wep authentication-method share-key 


wep key wep-40 pass-phrase 0 cipher guest 





security-profile name Security-prof-wpapskl1 id 2 
security-policy wpa 
wpa authentication-method psk pass-phrase cipher Huaweipsk encryption-method 所 


tkip 





security-profile name Security-prof-wpaeapl id 3 


security-policy wpa2 





service-set name Huawei-~guestl1 id 0 & 
forward-mode tunnel 

wlan-ess 0 

ssid Huawei-guest1 

traffic-profile id 0 

security-profile id 1 


service-vlan 13 





service-set name Huaweli-voicel id 1 
forward-mode tunnel 

wlan-ess 1 

ssid Huawei-~voicel 

traffic-profile id 0 
security-profile id 2 

service-vlan 12 

service-set name Huawei-employeel id 2 
forward-mede tunnel 

wlan-ess™2 

ssid Huawei-employeel 
traffic-profile id 0 
security-profile id 3 

service-vlan 11 

radio-profile name radio2-prof-1 id 0 
wmm-profile id 0 

radio-profile name radio5-prof-1 id 1 
radio-type 80211an 

wmm-profile id 0 
ap 0 radio 0 

radio-profile id 0 

service-set id 0 wlan 1 


service-set id 1 wlan 2 
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service-set id 2 wlan 3 
ap 0 radio 1 
radio-profile id 1 
service-set id 0 wlan 1 
service-set id 1 wlan 2 


service-set id 2 wlan 3 


所 
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实验 六 : eSight WLAN 网 管 实验 ( 选 做 实验 ) 
6.1 实 验 目 标 


。 ”掌握 AC 上 SNMP 协 议 的 配置 方法 


。 ”学 握 eSight 发 现 AC 的 操作 方法 


。 ”掌握 eSight 先 导 式 配置 WLAN 业 务 的 方法 


。 ”掌握 eSight 查 看 WLAN 运 行 状况 的 方法 














6.2 实 验 规划 
eSight 服 务 器 IP 10.254.1.200 
用 户 名 :iuawei 密码 : Abcd@1234 (或 咨询 实 
eSight 服 务 器 密码 
验 老 师 得 知 ) 
SNMP 只 读 团体 publicro 
SNMP 读 写 团体 privaterw 
配置 服务 集 huawei-esithtX，PSK 认 证 密码 Huaweipsk 














6.3.1 ”配置 AC 的 SNMP 团体 参数 


[AC1] snmp-agent community read publicRO 


[AC1l] snmp-agent community write privateRW 


[ACl] snmp-agent sys-info version v2c 
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6.3.2 ”配置 eSight 发 现 AC 


使 用 PC 接 入 配置 的 无 线 网 络 后 ， 输 入 http://10.254.1.200:8080 访 问 eSight 服 务 器 ,用 


户 名 是 admin, 密 码 是 Abcd@1234 ( 注意 : 第 一 次 安装 好 eSight 的 默认 用 户 名 是 admin, 密 


人 码 是 changeme123 ) 


用 户 浏览 器 推荐 采用 火狐 浏览 器 或 猎 静 浏览 器 ， 不 推荐 采用 下 系列 浏览 器 。 。 


人 : 


Be Huawel 





eSight 


及 
版 权 所 有 (C) 华为 技术 有 限 公 司 2011-2013。 保留 二 切 权 利 。 


,Sl © hitps://10.254.1.200:31943/login.action? =1353468453337 





eSight 应 用 平台 
由 记名 : [admin 
密码 : seeeeeee 
验证 码 ; [wxa _] NXBR 局 
登录 


全 您 当前 的 License 用 于 非 援 梭 机器， 进入 保 扩 期， 并 将 于 2013-02-18 到 期 ， 请 及 时 更 新 License。 


请 使 用 正 8 或 者 Frefox3.6， 最 佳 分 状 率 : 1024 x 768。 





登陆 成 功 后 ， 选择 下 拉 菜 单 “ 资 源 “， 并 单 击 ” 添 加 设备 “， 按 如 下 参数 填写 : 
































IP 地 址 10.1.X0.100 
名 称 ACX 
SNMP 版 本 V2C 
读 团体 字 publicRO 
写 团体 字 privateRW 
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e 革 四 系统 资源 | 故障 | 性 能 | 操作 维护 | 网 络 应 用 报表 mo | ml 
从 首页 增加 设备 
物理 资源 > 设备 资源 > 增加 设备 都 助 世 
J 逻辑 资源 
子 网 资源 基本 信息 
ee * 卫 地 址 : |10.1.10.100 子 网 : Ey 
名 称 : 
re ， [Ac 
机 框 资源 这 Se 协议 
单 板 资源 乡 选择 协议 模板 
子 卡 资源 SNMP 版 本 : V2c = 取 值 : 0-60 个 字符 。 
端口 资源 * 读 团体 字 : [publicro 写 团 体 字 : privaterwl 
= 端口 : [161 超时 时 间 ( 秒 ): 。 “|3 
全 
2 Telnet 协 议 (可 选 ) 
协议 类 型 : Tenet 认证 模式 : 不 认证 NS 
* 庙 口 : [23 登录 用 户 : 
密码 : * 超 时 时 间 ( 秒 ): ”|[60 4 
确定 取消 应 用 《K 


参数 填 好 后 ， 点 “确定 ”， 如 果 显示 添加 成 功 ， 说 明 已 经 已 经 配置 正确 。 























eeED 系统 ; 资源 ; 均 障 性 能 ;操作 维护 | 网 络 应 用 | 报表 | 
合 首页 增加 设备 *| 
NN 人 \\ 必 时 资源 > 设备 资源 都 助 国 
2 家 辑 资源 
了 网 3 EG | [ - 
Ip: - 类 型 : 3 
pa | | [ | 
/设备 资 流 ,| ”中 增加 设备 e 自动 发 现 | 央 设 备 S 入 | 豆 设 置 协议 ” | 驴 同 上 | 星 移 动 | 更 多 ~ 
机 框 资源 名 称 IP 地 址 类 型 软件 版 本 厂商 时 区 备注 操作 党 
单 板 资源 
UTC+08:00 北 加 
四 Acl 10.1.10.100 AC6605-AC ee Huawei 和 吉 凡 回 
源 区 ， 乌 兽 木 齐 





6.3.3 ”使 用 向 导 配 置 WLAN 服务 集 
选择 下 拉 菜 单 “网络 应 用 ”点 击 “WLAN 管 理 ”， 如 下 图 选择 “业务 管理 -配置 向 导 ”: 
1 ) 选择 AC 


选中 ACX ( X 是 你 的 组 编号 )， 点 “下 一 步 ”。 
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HCNA-WLAN 








SSID 

Rogue Ap 

区 域 和 位 置 

2 WLAN 托 扑 
WLAN4 务 拓扑 
WLAN 位 置 拓扑 





系统 ; 资源 ; 故障 ; 性 能 ; 操作 维护 ; 网 络 应 用 ; 报表 
WLAN 管 理 


WLAN 管 理 > 业务 管理 > 配置 向 导 


0 外 如 要 使 用 规划 表单 ， 请 下载 规 划 表单 


， © 





选择 AC 
名 称 : | 
卫 地 址 : [ 
涡 同 步 
状态 
加 © 


名 称 
AC1 


2 ) 配置 AC 基 本 属性 


这 里 已 经 在 以 前 的 实验 里 配置 好 ， 所 以 可 以 不 用 修改 ， 直 接点 “下 一 步 


俏 


10.1.10.100 


器 A 


A 


AC6605-AC 


搜索 


类 型 


ap 


MAC 


aa 


咱 








系统 ; 资源 ; 故障 ; 性 能 ; 操作 维护 ; 网 络 应 用 ; 报表 




















JE oo | 0 |Eoal 
分 首页 WLAN 管 理 = \ 
WLAN 管 理 > 业务 管理 河 醒 置 向 导 帮助 四 
2 概览 信息 
概览 信息 6———® 
Nc 配置 AC 基 本 属性 
2 业务 管理 | 全 
配置 向 导 ”| NE 信和 源 接口 会 导致 WLANJ 务 中 断 。 
2 资源 管理 修改 转发 类 型 会 清除 该 AC 所 有 的 转发 配置 。 
h 修改 国家 码 会 曙 除 该 AC 官 理 下 的 所 有 AP。 
AC 
Et * 接 口 名 称 : [venifio 
sTh AP 认 证 方式 : MAC = 
| ED 转发 类 型 : ESS 
和 国家 码 : CN(CHINA) 4 
区 域 和 位 置 下 一 下 -上 取消 
2 WLAN 拓 扑 
WLANJE 务 拓扑 
WLAN 位 置 拓扑 
:第 + 又 
3 ) 选择 AP 


占 > 


2014-9-25 


点 添加 后 ， 选 择 要 添加 配置 的 AP, 使 用 多 选 框 勾 选 ， 后 点 确定 


外。 
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CC-CC-81- 


… 10-22.60 10.1.10.... 























确保 AP 在 线 后 ,点 “下 一 步 ” NN 
< 


系统 | 资源 故障 | 性 能 | 操作 维护 ; ee PR 


-4。 WLAN 管 理 > 业务 管理 > 本 午间 导 帮助 


i AAA_ 置 AC 革 本 属性 选择 Ap 配置 模 板 部 轩 到 AP 
SH MAC 了 地 址 所 属 域 ” 布 放 位 置 操作 


Ap6010DN- CC-CC-81-10- ap-region- 
在 线 。 ap-0 i 210235448... 72 60 10.1.10.254 0 x 

































































总 共 : 1 20 > 条 [EE 1 固 巴 四 
四 











4 ) 配置 模板 


按 如 下 参数 填写 
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A 


创建 ESS 模 板 

2 基本 信息 

* 名 称 : 

*SSID: 

*VLAN ID: 
用 户 二 层 隔离 : 

* 关 联 超时 时 间 ( 分 < 
钟 ): 2 
用 户 数据 转 点 模 忒 : 


人 ^ 认 证 加 密 方 式 : 


祯 共享 密 钥 类 型 : 


7 


选中 所 有 配置 的 ESS 模板 




























































































mm 人 

PR Ns 

SA] 

人 Ne 
huawei-esiht1 类 型 : 业务 型 ~ 
huawei-esiht1 *ESS 接 口 : Wlan-Ess1 
12 5SID 隐 藏 : 否 v 
天 N ~ * 最 大 用 户 数 : 32 
全 IGMP 模 式 : 关闭 ~ 
障 迁 转发 ~ 
加 ”WPA1 预 共享 窗 钥 WPA2 和 预 共 享 密 钥 ) WEP 共享 密 钥 ) WPA1 802.1X ® W... 
加 WEP 开 放 系 统 
ASCII v “USK( 单 播 密 钥 ) 类 tkip ~ 
型 ; 

和 + 确认 预 共 享 密 钥 : eeeeeeeseal 








点 


1 AAAV 


mn 确 定 nm 


取消 


点 “增加 ”创建 一 个 ESS 服 务 集 ， 配置 如 下 (wpa 密 码 是 Hdaweipsk): 











HOAWE! HCNA-WALN 华为 认证 无 线 局 域 网 络 工程 师 实验 指导 书 
admin @ 
eED 系统 资源， 故障 ;性 能 操作 维护 | 网 络 应 用 ; 报表 
合 首页 WLAN 管 理 
WLAI 管 理 > 业务 管理 > 配置 向 导 帮助 | 一 
-概览 信息 
概览 信息 重生 一 人 一 人 
5 业务 管理 选择 AC 配置 AC 基 本 属性 选择 Ap 配置 模板 部 署 到 Ap 
配置 向 导 > AP 模 板 ; ap-profile-0 
2 次 所 理 加 二 
十 人 尘 
J 射频 配置 1 共 删除 
Ft AP E 
= 射频 ID: 0 = 
STA 
Ee = 射频 模板 : radio2-prof-1 
Se 工作 失态 : 打开 
区 域 和 位 置 信道 频 宽 ; 20MHz \| 
et 管理 信 诞 值 : 1 
ee 
WLAN 务 括 外 二 
ee 可 用 天 线 数 : 全 部 
* ESS 模 板 : 面 
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xX 
类 型 ESS 接 口 VLAN ID 用户 数据 转发 模式 

财 Huawei 北 务 型 Wian-Essl 12 直接 转发 

voicel voicel 
加 "uawei | 务 型 ea Wian-Ess0 13 隧道 转发 

guestl guestil 
回 和 业务 型 huaweiesiht1 Wian-Ess1 12 障 道 转发 
团 Huawer 业务 型 a Wian-Ess2 11 直接 转发 

emplo... employeel 

确定 取消 


如 下 配置 完成 所 有 参数 后 ,点 “下 一 步 ” 


dl 


合 首页 WLAN 管 理 。 * 


念 


WLAN 管 理 > 半 务 管理 和 本 置 向 导 


admn @v || 世 














2 概览 信息 
概览 信息 6——— © — ©— © 
2 业务 管理 先 扩 AS 配置 AC 基 本 属性 选择 AP 配置 模板 部 署 到 Ap 
配置 向 导 ff AP 模 祷 : ap-profile-0 
2 资源 管理 配置 射频 : 
\ 后 创建 





AC NS [ 
二 + 射频 配置 1 












































Al 深 别 除 
:人 \ | Mp: 
ssD\ 这 + 射频 模板 : radio2-prof-1 = 
Na 工作 村 态 : 打开 -一 一 
_ 区域 和 位 置 信道 频 高: 20MHz - 
VE WLAN 括 扑 管理 信道 值 : 
站 二 
WLANJL 务 拓扑 ee 
WwWLAN 们 置 拓扑 UE 全 部 到 
*ESS 模 板 : Huaweivoicel; huawei-guest1; huawei-esiht1; Huawei-employeel; a 中 增加 
” XX 才 
上 一 步 下 一 步 取消 
5 ) 部 署 到 AP 


点 击 “ 部 署 ” 
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et 系统 ; 资源 故障 | 性 能 ; 操作 维护 | 网络 应 用 ; 报表 nO .|B 


Bo | 0 | 0 lM 
从 首页 WLAN 管 理 。* 
WLAN 管 理 > 业务 管理 > 配置 向 导 帮助 辐 


和 人 


2 先 择 / | 选择 [Dn 已 
3 选择 AC 配置 AC 基 本 属性 先 择 AP 配置 模板 部 署 到 ApP 


配置 向 导 i 部 署 过 程 中 ， 若 直接 关闭 页 面 或 切换 其 他 页 面 ， 后 台 部 署 仍 将 继续 ， 但 无 法 查看 部 署 结果 。 
2 资源 管理 名 称 类 型 SN MAC IP 地 址 部 署 捧 态 


部 署 结果 
AC ap-0 AP6010DN-AGN 210235448310C9... CC-CC-81-10-22-60 10.1.10.254 


ssID 
RN 
Rogue AP 
区 域 和 位 置 
2 WLAN 拓 扑 
WLAN 站 务 拓扑 
WLAN 位 置 拓扑 





vk 


总 共 : 1 元 ENG 1 1 加 DB 
贺 加 入 白 名 单 
中 页 部 署 取消 





如 果 “部 署 状态 ” 显示 "成 功 ” ,此 时 可 以 单 击 下 面 的 六 完成 按钮 完成 向 导 化 的 WLAN 


配置 。 


WLAN 管 理 > 业务 管理 > 配置 向 导 


下 帮助 | 引 
@—————— 6———6————6——® 
选择 AC 配置 AC 基 求 启 性 选择 AP 配置 模板 部 署 到 AP 
i 部 署 过 程 中 ， 若 直接 关闭 页 面 或 切换 其 他 页 面 ， 后 台 部 署 仍 将 继续 ,但 无 法 查看 部 署 4 
名 称 人 类 型 su MAC IP 地 址 部 署 态 部 团结 果 
ap-0 AP6040DN-AGN 210235448310C9... CC-CC-81-10-22-60 10.1.10.254 完成 成 功 


6.3.4< 使 用 eSight 检查 配置 


) 点 击 “ 概 览 信息 ”可 以 看 到 在 线 用 户 信 息 ， 用 户 数量 是 随时 间 变 化 的 折线 图 。 
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eESDD 系统 ; 资源 故障 ; 性 能 ; 操作 维护 ; 网 络 应 用 ; 报表 admn @@~ | 区 
合 首页 WLAN 管 理 3 

WLAN 管 理 > 帮助 国庆 
2 概览 信息 
概览 信息 2 用 户 在 线 统计 Y 
业务 管理 时 间 范围 : 一 个 小 时 刷新 时 间 ( 分 钟 ): 30 
配置 向 导 
2 资源 管理 4 
AC 3 
FtAp 
2 三 
STA 
ssID 1 I 
Rogue AP 并 人 | ,| 
起 和 位 2012- 2012- 2012- 2012- 2012- 2012- 2012- 2012- 2012- 012- ”2012- 20 坊 
区 域 和 位 置 11221 i121 13221 1221 11221 11221 21221 121221 2221 22 13221 Pp | 
2 WLAN 托 扑 12:25 12:30 12:35 12:40 12:45 12:50 12:55 13:00 13:05 13:10 13:15 。 纪 3: 为 
WLAN4E 务 拓扑 加 用 户 效 最 大 位 :2 又 小 位 :0 
WLAN 位 置 拓扑 i > 
-资源 统计 mA 局 
AC 总 数 : 1 Ft AP 总 数 : 1 Ft -人 1 
Rogue Ap 总 数 : 0 SSID 总 数 : 4 在 线 S 总 数 : 1 
112ZAR [古人 奔 代 : nm mn nm \ zx /又 
2 ) 点 击 “ 资 源 管理 ”下 的 “SSID”， 可 以 看 到 已 经 配置 的 服务 集 及 VAP 
et 系统 ; 资源 | 故障 ; 性 能 ; 操作 维护 ;网络 应 用 报表 | 
全 首页 | 。 wLAr 念 理 A 入 
妾 。 WLAN 管 理 > 资源 管理 > SSID 帮助 国 
2 概览 信息 
汤 才 入 训 SSID: A\ 接 入 AC 名 称 : EE | 搜索 
党 SSID 接 入 AC 名 称 ESS 模 板 名 称 Fit Ap 数量 VAP 数 量 STA 堵 里 
2 业务 管理 
配 署 向导 Huawei-employeel S A Huawei-employeel 1 和 0 
， 资源 管理 huawei-esiht1 (人 AC1 huaweiesiht1 1 1 0 
huawei-guesT AC1 huawei-guest1 $$ 入 0 
AC > 
HuawerWoicel AC1 Huaweivoicel 1 1 0 
Ft Ap FNNS 
STA \ 
SSID > 
Rogue Ap \ 
区 域 和 位 置 
2 WLANjEN 
WDANJL 务 邱 # 
( WLANf 置 拓 扑 


3 ) 点 击 “WLAN 拓 扑 ” 下 的 “WLAN 业 务 拓扑 ” 


, 可 以 看 到 AC 和 AP 的 逻辑 连接 图 
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eT 系统 ; 资源 ;故障 ; 性 能 ; 操作 维护 ;网 络 应 用 报表 
从 首页 WLAN 管 理 。 兰 | *WLANJ 上 务 拓扑 * 
国 时 Root 【从 [人 /加 ] | 加 | 加 | El J 各 || 2 Il 问 I 区 | | | || 
(ACI[1] 





i 
4 ) 点 击 “ 资 源 管 理 ” 下 的 “STA” 可 以 看 到 关联 到 AC 上 的 用 户 信息 


这 里 可 以 看 到 刚才 通过 向 导 配 置 的 SSID 上 已 经 有 无 线 用 户 关联 上 来 ，IP 地 址 是 vlan12 


的 10.1.12.254， 其 关联 的 AP 是 10.1.10.254， 认 证 方式 是 \"WPA 预 共享 密 钥 ” 





sight, 人 I 0 
谷 首页 WLAN 管 理 


3 WLAM 管 理 > 资源 管理 > STA 者 助 局 
2 概览 信息 




















搜索 
2 资源 管理 





Ft Ap | MAC IP 地 址 用 户 名 站 east 下 ApIp 认证 方式 射频 ID ssID 


加 i 市 站 


WPA1 预 共享 密 F 
4CB0-94-38-3E-61 10.1.12.254 1cb094383e61 AC1 ap-0 10.1.10.254 。 负 1 预 共享 密 8 huawet 
ssID 


Rogue Bp 
区 域 和 位 置 
/天 MLAN 括 扑 
| 


WMANJL 务 拓扑 
WLAN 位 置 拓扑 
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6.4 天 键 配置 


snmp-agent 
snmp-agent community read publicRO 
snmp-agent community write privateRW 


snmp-agent sys-info version v2c v3 


所 
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实验 七 : 备份 配置 文件 ， 清 空 AC 配 置 
7.1 实 验 目标 


。 ”掌握 保存 AC 配 置 文件 的 方法 
。 ”掌握 在 AC 配 置 FTP 服 务 器 的 方法 
。 ”掌握 使 用 FTP 备 份 设备 配置 的 方法 


。 ”掌握 清空 AC 配 置 和 重启 AC 的 方法 














72 实 验 规划 
项 目 参数 
管理 接口 IP 192.168.100.200 
备份 配置 文件 名 acvrpcfg.zip 
FTP 账 号 用 户 名 :ftp 密码 : ftp001 
FTR 目 录 Flash:/ 














73.K 保存 配置 文件 到 flash 


控制 器 的 配置 文件 可 以 使 用 命令 save 直 接 保存 ,也 可 以 使 用 save 文件 名 的 方式 特别 保 


存 配 置 。 这 里 采用 特别 保存 的 方式 保存 配置 文件 到 闪存 里 。 


<ACl>save acvrpcfg.zip 
Are you sure to save the configuration to flash:/acvrpcfg.zip?[Y/N]:Y 


Info: Save the configuration successfully. 
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保存 后 可 以 通过 dir 命 令 来 验证 保存 的 配置 是 否 


<AC1>diL 


Directory of flash:/ 


Idx Attr 
0 -rw- 
1 -rw- 


Size(Byte) Date Time (LMT) 


11,650,584 Oct 14 2013 11:04:48 


159 Oct 21 2013 10:02:34 


FitAP6X1O0XN V200R003C00SPC200 .bin 


2 
3 


drw— 


一 工 W 一 


4,364,287 


—- Sep 18 2013 15:26:09 


AC6605V200R003C00SPC200.001 .web.zip 


4 drw- - Aug 31 2013 15:40:37 
5 -rw-— 540 Sep 18 2013 15:26:51 
6 drw- —- Sep 18 2013 15:26:17 
7 -rw- 2,110 Oct 25 2013 05:40:48 
8 drw- —- Sep 18 2013 19:10:51 
9 -rw-— 17891 QOéet 29 2013 .07352:;55 
10 -rw-— 1,314 Oct 29 2013 07:52:55 
11 -rw- 633 Oct 29 2013 05:024 At 
12 -rw- 146 Oct 21 2013 40:02;34 
13 -rw- 1,970 Oct 29 2813\ 08*31:09 
14 -zw 一 45,075,085 Sep 18 2Q13 17:58:36 
15 -rw-— 1,260 Sep M8J2013 15:26:50 
16 -rw- 2597755 MOCE 29 2013: OQ5%033135 

206,324 KB total (44ANA204 KB free) 

7.3.2 ”在 AC 上 配置 FTP 服务 器 


[AC1] ftp ‘server enable 


[RCTJ aaa 


Sep 18 2013 17:57:32 


季 在 。 


FileName 


portal_policy.txt 


dhcp 


corefile ¢ 
rsa_server_key .efs 
security 
daemon.log%、bak 
logfile 
Vrpcfg.zip 
private-data.txt 
daemon.1og 
portal_page.txt 
acvrpcfg.zip 
AC6605V200R003C00SPC200.cc 
rsa_host_key.efs 


mon_file.txt 


[AC1~aaallocal-user ftp password cipher ftp001 ftp-directory flash:/ 


[ACl-aaa]jlocal-user ftp service-type ftp 


[ACl-aaa]local-user ftp privilege level 15 


7.3.3 


使 用 FTP 备份 配置 到 电脑 上 


电脑 使 用 双 绞 线 连接 到 控制 器 的 管理 接口 上 


C:\Users\zWX>d: 


D:\>ftp 192.168.100.200 
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连接 到 192.168.100.200。 
220 FTP service ready. 


用 户 (192.168.100.200: (none)): ftp 

331 Password required for ftp. 

密码 : ftp001 

230 User logged in. 

ftp> get acvrpcfg.zip 

200 Port command okay . 

150 Opening ASCII mode data connection for acvrpcfg.zip. 
226 Transfer complete. 


ftp: 收 到 1373 字 节 ， 用 时 0.00 秒 1373000 .00 干 字 节 / 秒 。 
ftp> 


打开 电脑 D 盘 根 目录 ,可 以 看 到 备份 的 配置 文件 ,ZIP 文 件 可 以 使 用 解压 缩 解 压 后 查看 。 








FS 医生 人 二 江 


图 片 ”给 图 日 区 时间 性 入 各 
- A 





字体 让 落 省 》 编辑 
PY .3 
| 11 
AP 


wlan ac-global carrier 1d other ac 1 

# 

dba-profile default0 type3 assube 40000 max 80000 
基 
dhcp enable 

# 

diffsery domain defaubt 
# 
radius-server temnplatelradius_huawei 
radius-serverNauthemtication 10. 254.1.100 1812 
radius-sBrver AeCounting 10.254.1.100 1813 
划 
ip poolMylanlio 

Bateway™list 10.1.10.1 

netywork 10.1.10.0 mask 255. 255. 255.0 
exclIpnded-ip-address 10.1.10.100 

as-list 10. 254.1.100 

option 43 sub-option 3 ascii 10.1.10.100 


JI 


A # 
\ aaa 
N authentication-schene default 
authentication-scheme radius_huawei 
authentication-mode radius 
authorization-scheme default 
accounting-scheme default 
domain default ” 























7.3.4 ”清空 AC 配置 


实验 后 ,为 避免 残余 配置 对 后 续 实验 的 影响 ， 要求 学生 在 实验 完成 后 ， 关闭 设备 之 前 清 
空 设备 保存 的 配置 信息 ; 同时 ， 实 验 开 始 时 ， 确 认 设备 从 空 配 置 启动 ， 否 则 执行 配置 清空 


下 


并 重启 设备 。 
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<AC>reset saved-configuration 


The configuration will be erased to reconfigure. Continue? [Y/N]:Y 


重启 控制 器 的 命令 是 : 


人 


LSW>reboot 


LSW>Otherwise, unsaved configuration will be lost. Continue?[Y/N]:Y 


人 


<LSW>Warning: All the configuration will be saved to the configuration file for 


the next startup:, Continue?[Y/N]:N 





a 


LSW>System will reboot! Continue?[Y/N]:Y 


7.4 天 键 配置 


ftp server enable 

aaa 

local-user ftp password cipher ftp001 
local-user ftp ftp-directory flash:/ 
local-user ftp service-type ftp 


local-user ftp privilege level 15 
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附件 : 核心 交换 机 基础 配置 ( 供 搭建 实验 环境 参考 ) 


<CoreSW3700>dis current-configuration 
# 

!Software Version V100R005C0O1SPC100 
sysname CoreSsW3700 

# 


vlan batch 10 to 12 20 to 22 30 to 32 40 to 42 50 to 52 60 to 62 70 to 72 80 to 


82 90 to 92 100 to 102 
vlan batch 800 to 810 900 


dhcp enable 











undo http server enable \ 

drop illegal-mac alarm 

aaa 

authentication-scheme default 

authorization-scheme default 

accounting-scheme default 

domain default 

domain default_admin 

local-user admin password。Ssimple admin 

local-user admin servicestype http 

# 

interface Vlanif10 

:ip address ll1M0.l1 255.255.255.0 

# 

interface Vilanif1l 

iA address 10.1.11.1 255.255.255.0 

dhcp, select interface 

# 

interface Vlanif12 

ip address 10.1.12.1 255.255.255.0 

dhcp select interface 

# 

interface Vlanif20 

ip address 10.1.20.1 255,255,255..0 

# 

interface Vlanif21 

ip address 10..1.2101 255..2555255.0 
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dhcp select interface 
# 


interface Vlanif22 


IE address 10.1.22;,1 255. 


dhcp select interface 
# 


interface Vlanif30 


ip address 10.1.30.1 255. 


# 


interface Vlanif31 


ip address 10.1.31.1 255. 


dhcp select interface 
# 


interface Vlanif32 


ib. address. 10;1,32%1 255.; 


dhcp select interface 
# 


interface Vlanif40 


ip address 10.1.40.1 255. 


# 


interface Vlanif41 


ip address 10.1.41.1 255. 


dhcp select interface 
# 


interface Vlanif42 


ip address 10.1.42.1 250% 


dhcp select intemtade 
# 


interface Vianif50 


ip addres® LIQ.1.50.1 255. 


# 


iNnterfaceé@ VLanif51 


ip\address 10.1.51.1 255. 


Yhcp select interface 
# 


interface Vlanif52 


ip address L101l52:51 2555 


dhcp select interface 
# 


interface Vlanif60 


ip address 10.1.60.1 255. 


# 


interface Vlanif61 


255.255.0 


2 59532550 


259%253.50 


255%25550 


2595.255.50 


255.255.0 


5.255.0 


255.255.0 


255525950 


25525550 


2555255s0 
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ip address 10.1.61.1 255. 


dhcp select interface 
# 


interface Vlanif62 


ip address 10.1.62.1 255. 


dhcp select interface 
# 


interface Vlanif70 


ip address 10.1.70.1 255. 


# 


interface Vlanif71 


ip address 10.1.71.1 255. 


dhcp select interface 
# 


interface Vlanif72 


ip address 10.1.72;,1 255.， 


dhcp select interface 
# 


interface Vlanif80 


ip address 10.1.80.1 255. 


# 


interface Vlanif81 


ib. address 10%1,.81al 259 


dhcp select interface 
# 


interface Vlanif82 


ip address 10.1.8@. MN 25. 


dhcp select inferface 
# 


interface Vlanif90 


ip addrass 10.1.90.1 255. 


# 


interface Vlanif91 


ip address 10.1.91.1 255. 


dhcp select interface 
# 


interface Vlanif92 


ip. address 10.1.92.1 255. 


dhcp select interface 


# 


interface Vlanif100 


2555259550 


255.52595:0 


2555259550 


255.255.0 


255.255.0 


255.255.0 


255.255.W 


2595253.50 


259%25950 


255%255%0 


255.255.0 


ip address 10.1.100.1 255.255.255.0 


# 
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interface Vlanif101 
ip address 10.1.101.1 255.255.255,.0 
dhcp select interface 
# 
interface Vlanif102 
ip address 10.1.102.1 255.255.255.0 
dhcp select interface 
# 
interface Vlanif801 
ip address 10.1.201.1 255.255.255.0 
# 
interface Vlanif802 
ip address 10.1.202.1 255.255.255.0 
# K 
interface Vlanif803 
ip iaddress 10.1;203.1 255;255,.255.0 
# 
interface Vlanif804 
ip dddress. 10.1.204.1 255s255.255.0 
# 
interface Vlanif805 
ip: address 10.1.205:1 255.255.255..@ 
# 
interface Vlanif806 
ip address 10.1.206.1 255.255.255.0 
# 
interface Vlanif807 
ip address 1l0M\ 20NY 255.255.255.0 
# 
interface Vlanif808 
ip address 10.1.208.1 255.255.255.0 
大 
interface Vlanif809 
ip: address 10.15209. 255,.255.255,0 
# 
interface Vlanif810 
ip address 10.1.:210,.1 255%5255..255:0 
# 
interface Vlanif900 
ip address 10.254.1.1 255.255.255.0 
# 
interface Ethernet0/0/1 
port link-type trunk 
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port trunk allow-pass vlan 
# 

interface Ethernet0/0/2 
port link-type trunk 

port trunk allow-pass vlan 
# 

interface Ethernet0/0/3 
port link-type trunk 

port trunk allow-pass vlan 
# 

interface Ethernet0/0/4 
port link-type trunk 

port trunk allow-pass vlan 
# 

interface Ethernet0/0/5 
port link-type trunk 

port trunk allow-pass vlan 
# 

interface Ethernet0/0/6 
port link-type trunk 

port trunk allow-pass vlan 
# 

interface Ethernet0/0/7 
port link-type trunk 

port trunk allow-pass vlan 
# 

interface Ethernet0/0/8 
port link-type trunk 

port trunk、sallow-pass vlan 
# 

Ethernet0/0/9 





interface 
port link-type trunk 

port trunk allow-pass vlan 
# 

Ethernet0/0/10 





interface 
port link-type trunk 

port trunk allow-pass vlan 
# 

Ethernet0/0/11 





interface 
port link-type access 
port default vlan 10 
stp edged-port enable 
# 


10 


10 


30 


30 


50 


50 


70 


9 


90 


90 


to 12 801 


20 to 


22 801 to 802 


to 32 


803 


40 to 


42 803 to 804 


to 52 


805 


60 to 


62 805to 806 


下 CO 72 


807 


80 七 可 


82 807 to 808 


to 92 


809 


100 to 102 809 to 810 
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interface Ethernet0/0/12 
port link-type access 
port default vlan 20 
stp edged-port enable 

# 

interface Ethernet0/0/13 
port link-type access 


port default vlan 30 





stp edged-port enabl 

# 

interface Ethernet0/0/14 
port link-type access 
port default vlan 40 
stp edged-port enable 

# 

interface Ethernet0/0/15 





port link-type access 
port default vlan 50 
stp edged-port enable 

# 

interface Ethernet0/0/16 





port link-type access 
port default vlan 60 
stp edged-port enable 

# 

interface Ethernet0/0/¥% 





port link-type accCesSs 
port default yPan 70 
stp edged-port、yenable 

# 

interface Ethernet0/0/18 





Port link-type access 
port default vlan 80 
stp edged-port enable 

# 

interface Ethernet0/0/19 
port link-type access 
port default vlan 90 
stp edged-port enable 

# 

interface Ethernet0/0/20 
port link-type access 


port default vlan 100 
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stp edged-port enabl 

# 

interface Ethernet0/0/21 
port link-type access 


port default vlan 900 





stp edged-port enabl 

# 

interface Ethernet0/0/22 
port link-type access 


port default vlan 900 





stp edged-port enabl 

# 

interface Ethernet0/0/23 
port link-type access 
port default vlan 900 
stp edged-port enable 

# 

interface Ethernet0/0/24 





port link-type access 
port default vlan 900 


stp edged-port enable 


interface GigabitEthernet0/0/1 


interface GigabitEthernet0/0/2 


interface GigabitEthernet0/0/3 


interface GigaBDitEthernet0/0/4 


interface NULLO 





interface LoopBack100 
ip address 100.100.100. 
# 

interface LoopBack200 
ip address 200.200.200. 
# 

ip route-static 172.16. 
ip route-static 172.16. 
ip route-static 172.16. 
ip route-static 172.16. 
ip route-static 172.16. 


100 


200 


心 Dp 


.| 


2535x 


2590s 


259; 
255s 
255 . 
259, 
2555 


255。 


255: 


255's 
2959 
25.9: 
255, 
29.5.s 


255% 


255's 


255, 
255, 
259. 
259, 
2555 


255 


25.5 


10 . 
10 . 
10, 
10 . 


人 


0 


FF 


01。 
.202. 
“203; 
.204. 
“205. 


100 
100 
100 
100 
100 
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HCNA-WALN 华为 认证 无 线 局 域 网 络 工程 师 实验 指导 书 HCNA-WLAN 

ip route-static 172.16.6.0 255.255.255.0 10.1.206,.100 
ip. oute=statie 172,16;7»0 255.255.255.0 10;1.207,100 
ip route-static 172.16.8.0 255.255.255.0 10,.1.208,.100 
i YoUte=static 72.16:9%50 .295552555255.50 10%Ls209.:100 
ip route-static 172.16.10,0 255.255.255.0 10.1.210.100 
ip toute=statlie. 1925168;1.0 255.2555255.0 10,110,100 
ip route-static 192.168.2.0 255.255.255.0 10.1.20.100 
ip Eoute=statie 192516833s0 255.255,.255:30 10%w1530.100 
ip route-static 192.168.4.0 255.255.255.0 10.1.40.100 
ip Toute=Statie 192,168.55%0 259.255%25550 10%150, L100 
ip route-static 192.168.6.0 255.255.255.0 10.1.60.100 
iB Youte=static 192%168:750 255.25572550 T0170aL00 
ip route-static 192.168.8.0 255.255.255.0 10.1.80.100 
ip route=static 192.168.9.0 255.255.255。0 10,.1.90.100 tk 
ip route-static 192.168.10.0 255.255.255.0 10.1.100.100 
# 
snmp-agent 
snmp-agent local-engineid 000007DB7F00000100004E58 
snmp-agent sys-info version v3 
# 
user-interface con 0 
idle-timeout 0 0 
user-interface vty 0 4 
user privilege level 15 
set authentication password simple huawei 
# 
EErn 
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华为 职业 认证 通过 者 权 蔡 


通过 任 一 项 华为 职业 认证 ， 您 即 可 在 华为 在 线 学 习 网 站 (h1Wp;/Aeorming.huawei.com/cn) 1 享有 如 下 特权 : 
。 1、 华 为 E-learning 课程 学 习 
0 ”内 容 : 所 有 华为 职业 认证 E-Learning 课 程 ， 扩 展 您 在 其 他 技术 领域 的 技术 知识 
0 方式 : 守 必 证 性 后 ， 请 提交 您 的 “华为 账号 ”和 注册 账号 的 “emaqikRk 人 | LeQ/ning@huawei.com 内 
态 双 谍 。 
。 2、 华 为 培训 教材 下 载 
0 内容 : 华为 职业 认证 培训 教材 + 华为 产品 技术 培训 教 林 ， 覆 盖 企 业 网 络 、 存 储 、 安 全 等 诸多 领域 
0 方式: 登录 华为 站 对 学 习 契 羡 ， 进 入 “从 为 姑 加 廊 谎 娘 W ， 在 具体 课程 页 面 即 可 下 载 教材 。 
。 3、 华为 在 线 公 开课 (LVC) 优 先 参 与 
0 ” 内容: 企业 网 络 、UC&C、 安 全 、 和 存储 等 诸多 领域 的 职业 认证 课程 ， 华 为 讲师 授课 ， 开 班 人 数 有 限 
o 方式: 开 班 计划 及 参与 方式 请 详 匈 AYC 玫 舱 
。 4、 学习 工具 eNSP 
o eNSP (Enterprise Network Simulation Platform), 是 由 华为 提供 的 免费 的 、 可 扩展 的 、 图 形 化 网 络 仿 
真 工具 。 主 要 对 企业 网 路 由 器 和 交换 机 进行 硬件 模拟 ， 完 美 呈 现 真实 设备 实景 ; 同时 也 支持 大 型 网 络 
模拟 ， 让 大 家 在 没有 真实 设备 的 情况 下 也 能 够 进行 实验 测试 。 
。 ”另外 , 华为 建立 了 知识 分 享 平 台 华为 认证 论坛 。 您 可 以 在 线 与 华为 技术 专家 交流 技术 ， 与 其 他 考生 分 享 考试 
经 验 ， 一 起 学 习 华 为 产品 技术 。_( http://support.huawei.com/ecommunity/bbs/list 2247.html ) 
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